Académique Documents
Professionnel Documents
Culture Documents
Rapport n° 3
Mai 2019
> 1 <
2.2.3 L’utilisation d’Internet à des fins criminelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2.2.3.1 L’utilisation d’Internet à des fins terroristes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2.2.3.2 Les escroqueries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.2.3.3 Extorsion de fonds. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.2.3.4 La lutte contre la fraude à la carte bancaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
2.2.3.5 Les marchés criminels en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
2.2.3.6 Les atteintes aux personnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
2.2.3.7 « Cyberinfluence » et atteintes à la démocratie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
2.3. Perception de la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
2.3.1 Vision des cybermenaces par les services du ministère de l’Intérieur . . . . . . . . . . . . . . . . . . . 82
2.3.1.1 Données statistiques sur les infractions constatées. . . . . . . . . . . . . . . . . . . . . . . . . . 82
2.3.1.2 Activité de la plateforme d’harmonisation, d’analyse, de recoupement
et d’orientation des signalements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
2.3.1.3 Activité de la plateforme Perceval. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
2.3.1.4 Activité de la plateforme d’assistance aux victimes de cybermalveillance . . . . . . . . . 92
2.3.2 Vision des cybermenaces par les services du ministère de la Justice . . . . . . . . . . . . . . . . . . . . 93
2.3.3 Perception de la menace par les entreprises françaises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
2.3.4 Vision européenne proposée par Europol. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
2.3.5 Le coût de la cybercriminalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
3.3. Enquêter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
3.3.1 L’accueil des victimes d’actes de cybercriminalité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
3.3.2 L’action des services spécialisés : investigation, formation, coopération. . . . . . . . . . . . . . . . . 110
3.4. Innover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
3.4.1 Recherche et développement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
3.4.2 Partenariat Public-Privé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
3.4.2.1 Le partenariat avec les opérateurs de l’Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
3.4.2.2 Travaux de la filière des industries de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.4.2.3 Cercles de réflexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.4.2.4 Transferts de compétences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.4.3 Transformation numérique ; mieux signaler, mieux communiquer autour du cyber. . . . . . . . 118
3.4.3.1 Projet Néo PN/GN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.4.3.2 Plateforme de signalement des violences sexuelles et sexistes . . . . . . . . . . . . . . . . 119
3.4.3.3 Brigade numérique de la gendarmerie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
3.4.3.4 La mise en place du réseau des référents cybermenaces. . . . . . . . . . . . . . . . . . . . . 120
3.4.3.5 L’activité des réseaux de réservistes « cyber ». . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
3.4.3.6 Communication de crise : Système d’Alerte et d’Information
des Populations (SAIP) et Médias Sociaux en Gestion d’Urgence (MSGU). . . . . . . 120
3.4.4 Mieux appréhender les phénomènes de masse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
3.4.4.1 Projet Thésée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
3.4.4.2 Plateforme Perceval (pour rappel). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
3.4.5 Aider à la remédiation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Plateforme d’assistance aux victimes de cybermalveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . 123
3.4.6 L’identité numérique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
3.4.6.1 Le cadre juridique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
3.4.6.2 Le parcours d’identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Annexe 3 : Contacts utiles pour lutter contre les cybermenaces. . . . . . . . . . . . . . . . . . . . . 136
> 3 <
Le mot du ministre
AVANT-PROPOS
jusqu’à nos moyens de transport, depuis nos achats jusqu’à nos relations
personnelles, le numérique est présent partout.
Il a décuplé les opportunités, facilité les échanges. Il nous permet d’aller
plus vite, de nous informer en temps réel, d’innover et de repousser les
frontières de notre imagination.
Le numérique est présent dans le quotidien de notre ministère. Nos
forces de l’ordre sont de plus en plus connectées, la procédure pénale
se dématérialise et il est désormais possible de signaler des infractions
en ligne. Ce sont autant d’avancées qui facilitent le travail de nos
policiers et de nos gendarmes et offrent aux victimes une réaction et un
accompagnement plus simple, plus accessible, plus rapide.
Le numérique est une chance et je souhaite que le ministère de l’Intérieur soit à l’avant-poste de la
transition numérique de l’État. Mais notre volonté numérique assumée ne doit pas nous rendre naïfs.
Aujourd’hui, d’un clic, on peut voler, espionner, pirater nos systèmes d’information.
Aujourd’hui, des hackers avancent masqués, attaquent, et, en une seconde, peuvent changer un téléphone
en micro, bloquer une gare, tenter de changer le cours d’une élection.
Aujourd’hui, Internet est devenu aussi la libre tribune de toutes les haines et, trop souvent, une école de
radicalisation.
Comme ministre de l’Intérieur, mon devoir est de protéger les Français face à toutes les menaces. Aussi,
avec nos services de police et de gendarmerie, nous sommes résolus à ne pas laisser le cyberespace
devenir une zone de non-droit.
Notre feuille de route cyber est claire : les auteurs doivent être retrouvés, les délits empêchés et notre
protection augmentée.
Nous nous sommes dotés de moyens importants, à la hauteur de nos ambitions. Ainsi, chaque jour, plus de
8 600 policiers et gendarmes veillent sur internet, traquent les délinquants, mènent l’enquête, en un mot
protègent nos concitoyens. Ils luttent contre les escroqueries, surveillent les contenus illicites, empêchent
les cyberdélinquants d’agir : ces femmes et ces hommes sont en première ligne pour notre sécurité et
notre liberté numérique.
La liberté, justement, voilà tout le paradoxe d’internet. L’anonymat protège tous ceux qui répandent des
contenus haineux et permet à des faux-comptes de se multiplier pour propager toutes sortes de contenus.
Nous ne pouvons pas laisser les publications illicites se multiplier. Nous devons donc relever le défi de
l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il
correspond vraiment.
Mon objectif, avec Laurent Nuñez, est de bâtir une France sûre pour toutes et tous. Une France où les
libertés sont garanties. Une France où le numérique reste une source d’opportunités et jamais un danger.
Nous voulons bâtir la sécurité du XXIe siècle et celle-ci passe, résolument, par notre cybersécurité.
Christophe CASTANER
Ministre de l’Intérieur
> 5 <
> 6 <
Ce document est la troisième édition de l’état de la menace liée au numérique établi par l’ensemble
des services du ministère de l’Intérieur, sous la coordination de la délégation ministérielle aux
industries de sécurité et à la lutte contre le cybermenaces (DMISC).
Qui ce document concerne-t-il ?
ÉDITORIAL
Tout le monde ! Les citoyens et l’État, les acteurs publics et privés, les usagers et les administrations,
les particuliers et les entreprises… Ce document a été décliné en deux versions : l’une est publique,
l’autre est classifiée.
De quoi parle-t-il ?
Ce rapport dresse, en premier lieu, un panorama complet des enjeux stratégiques liés aux
cybermenaces – sociétaux, économiques, juridiques, technologiques et institutionnels. Il recense et
explique ensuite les différentes menaces liées au numérique, puis rappelle les réponses apportées par
le ministère de l’Intérieur. C’est un document de veille, d’analyse et de prospective.
Quelle période couvre-t-il ?
Le document couvre principalement la période 2018 – 2019. Des références aux années précédentes
peuvent illustrer certains usages et phénomènes, afin de les contextualiser. Le rapport inclut quelques
considérations d’ordre prospectif et identifie également les défis liés au numérique à venir.
Comment a-t-il été réalisé ?
Il s’agit d’un travail collectif, collaboratif, et il faut remercier ici l’ensemble des services contributeurs du
ministère. Les forces de police, gendarmerie, renseignement et sécurité civile se sont particulièrement
investies, tout comme les services du secrétariat général du ministère. Les acteurs de terrain ont été
sollicités, ainsi que nos partenaires – le dispositif cybermalveillance.gouv.fr, le ministère de la Justice
et l’Agence nationale de sécurité des systèmes d’information. Ce rapport n’aurait pas vu le jour sans
l’investissement d’hommes et de femmes passionnés, mais aussi le travail quotidien de près de 9 000
personnels « cyber », répartis sur l’ensemble du territoire national.
Quelle est la volumétrie des menaces liées au numérique ?
La mesure de la cybercriminalité, malgré des progrès significatifs, constitue encore une voie de
progrès pour le ministère de l’Intérieur. L’absence de dépôt de plainte ou de signalement est un
véritable frein à la connaissance fine et précise des faits de cybercriminalité.
Quel est l’objectif de ce document ?
Vous informer, vous prévenir et vous sensibiliser en priorité, mais aussi vous expliquer les méthodes
d’investigation numérique des forces de police et gendarmerie, ainsi que leurs travaux en matière de
transformation numérique. Bienvenue au ministère de l’Intérieur 3.0 !
La délégation ministérielle aux industries
de sécurité et à la lutte contre les cybermenaces
> 7 <
Synthèse
Partie 1 - Enjeux stratégiques liés aux cybermenaces
L’accélération des transformations induites par le digital bouleverse profondément la société. Dans le même
temps, l’irruption de l’Internet s’est accompagnée de la montée en puissance de géants du numérique
transnationaux, dont les activités sont devenues systémiques. Aussi, poser des règles de fonctionnement
claires et équilibrées pour accompagner la transformation numérique inéluctable de la société est essentiel. De
même, l’adaptation des moyens de lutte doit être permanente pour faire face à l’évolution des cybermenaces,
l’interconnexion des systèmes devenant la norme.
Enjeux économiques
Le paysage de la criminalité se transforme aussi sous l’impact du numérique. Internet offre de multiples
possibilités pour atteindre un grand nombre de victimes à très faible coût et avec de nombreux avantages.
Qu’il s’agisse d’opérations très ciblées ou d’actions massives et indiscriminées, ces activités constituent une
menace insidieuse mais réelle pour toutes les entités économiques, qu’elles en soient directement la cible ou
qu’elles en subissent les dommages collatéraux. Pour se protéger, elles disposent de trois outils principaux
et complémentaires : la prévention, la gestion des risques et le transfert de risque par le biais de l’assurance
cyber, qui poursuit son développement. Aucun secteur professionnel n’est à l’abri, y compris celui de la santé.
Les conséquences négatives du numérique sur l’environnement sont de plus en plus évoquées.
Enjeux sociétaux
La mise en réseau numérique de la société fait émerger un spectre infini de propos d’une grande viralité,
notamment porteurs de haine ou susceptibles de travestir la réalité.
Ainsi, le vecteur numérique est au cœur de la stratégie de communication djihadiste. Depuis fin 2017, la
propagande de l’État islamique à destination de la mouvance islamiste occidentale a décliné mais ses adeptes
sont toujours présents en ligne. Aussi la proposition de la Commission européenne portant sur le retrait,
une heure après notification, des contenus terroristes en ligne constitue un enjeu prioritaire pour renforcer
notre capacité collective à prévenir et lutter contre le risque terroriste endogène.
Sur Internet, les trafics illicites sont facilités par trois mécanismes : les forums de discussion, les darknets et
les cryptomonnaies. Sur les darknets, il est constaté l’importance du trafic de stupéfiants, mais aussi du carding
(vol et recel de données liées aux cartes bancaires).
> 10 <
l’heure, pas permis d’identifier de solutions répondant aux exigences de la jurisprudence et préservant les
capacités opérationnelles des services de police.
Enjeux technologiques
L’utilisation accrue des outils de chiffrement et d’anonymisation sur Internet soulève des questions techniques,
juridiques et opérationnelles dans la lutte contre la criminalité et le terrorisme ; elle rend l’accès à la preuve
numérique plus complexe.
De même, l’utilisation de logiciels d’effacement de données, la démocratisation de supports numériques
de type SSD ou encore l’emploi de certaines cryptomonnaies peuvent limiter sérieusement les capacités
d’investigation.
Phénomènes
Si l’année 2017 a été marquée par des campagnes de rançongiciels (Wannacry, Notpetya), ces attaques n’ont pas
poursuivi leur forte croissance, mais persistent en 2018 et touchent de nombreuses entreprises françaises.
Toutefois un changement de stratégie des cybercriminels peut être observé. Autrefois indiscriminées, les
attaques par rançongiciel semblent davantage cibler les grandes entreprises ayant la capacité de payer des
rançons très élevées. La forte médiatisation de ce phénomène rançongiciel pourrait avoir incité les malfaiteurs
à privilégier d’autres modes opératoires, plus difficiles à détecter. Ainsi le spear-phishing et le cryptojacking
(minage clandestin de cryptomonnaie) sont en nette augmentation depuis début 2018.
En 2018, les malwares bancaires semblent en plein essor sur les smartphones et les attaques de distributeurs
bancaires par jackpotting se sont intensifiées et diversifiées (mode d’accès), principalement commises par des
criminels issus d’Europe de l’Est.
Tout un écosystème facilitant la mise en œuvre d’attaques cyber par des individus ou groupes criminels est
désormais en place, induisant la notion de « crime-as-a-service ». Malwares, plateformes d’exploits, de service
ou prestataires d’infrastructure se trouvent aisément, notamment sur les darknets.
Ces darknets demeurent des plateformes essentielles dans l’organisation de nombreux trafics et constituent
l’interface de revente des données personnelles acquises à l’occasion de cyberattaques. La fermeture des
grands marchés mondiaux AlphaBay et Hansa Market, à l’été 2017, a entraîné une augmentation du nombre
de marchés secondaires plus spécifiques.
Les attaques par déni de service apparaissent en baisse avec un nombre de plaintes en diminution. Les faits
de défiguration sont eux en forte réduction.
> 11 <
Les phénomènes criminels en lien avec le piratage des standards et lignes téléphoniques se poursuivent selon
deux procédés, le phreaking et le spoofing.
Les contenus de provocation et d’apologie au terrorisme signalés à la plate-forme PHAROS ont connu une
baisse significative pour la troisième année consécutive.
En matière d’escroquerie, l’année 2018 a vu à nouveau un net recul des escroqueries aux faux ordres de
virement internationaux (FOVI). Elle a été marquée par la poursuite des escroqueries aux faux investissements
sur le marché des changes (FOREX) et la recrudescence des escroqueries liées à des placements indexés sur
les cryptomonnaies. Elle a aussi vu l’essor des escroqueries aux faux supports techniques et corrélativement
l’arrestation de plusieurs bandes organisées.
Un phénomène de « sextorsion » portant sur un chantage à la webcam prétendument piratée est apparu fin
2018 ; il s’est manifesté par une diffusion massive de mails.
Les fraudes à la carte bancaire poursuivent leur évolution avec des outils de skimming de plus en plus
sophistiqués, souvent déployés par des groupes criminels d’Europe de l’Est. Touchant désormais tout type de
distributeurs automatiques, le nombre de piratages est toutefois en très forte baisse depuis 2015.
Les techniques d’ingénierie sociale demeurent une tactique essentielle pour la commission de nombreux
crimes, souvent complexes, liés au cyber et facilités par lui.
Concernant l’exploitation sexuelle des mineurs en ligne, il est noté la diversification de l’origine des images
et vidéos à caractère pédopornographique mettant en scène des victimes de plus en plus jeunes, mais
aussi la pérennisation des faits d’abus sexuels d’enfants commis à distance (« live streaming »), impliquant des
ressortissants français.
> 12 <
Partie 3 - Les actions du ministère de l’Intérieur
Le ministère de l’Intérieur s’est depuis longtemps mis en ordre de bataille pour faire face aux cybermenaces
et s’adapte continuellement. Le délégué ministériel aux industries de sécurité et à la lutte contre les
cybermenaces (DMISC) joue un rôle de pilotage stratégique en matière de lutte contre les cybermenaces. La
feuille de route demandée en 2018 par le ministre de l’Intérieur a abouti à un plan d’actions qui permettra
de mieux structurer la lutte contre les cybermenaces.
Les directions et services jouent quotidiennement un rôle de prévention, protection, investigation et
innovation.
Prévenir
Par sa présence dans les territoires, le ministère est un acteur majeur de la sensibilisation des citoyens, des
acteurs économiques et des collectivités territoriales. Ses services ont participé, tout au long de l’année à
des évènements destinés au grand public ou à un public plus ciblé. L’opération « Permis Internet » a permis
de sensibiliser plus de 2 000 000 d’élèves.
La direction générale de la sécurité intérieure (DGSI) effectue des actions ciblées vers le monde économique
et le service central de renseignement territorial (SCRT) a un rôle de soutien et de capteur au profit des
services spécialisés en charge de l’intelligence économique.
La protection des données est prise en compte au ministère par un réseau de correspondants, aujourd’hui
animé par un délégué ministériel, nommé en 2018.
Enquêter
Au niveau de l’accueil dans les services locaux de police et de gendarmerie, la prise en compte des victimes
passe par la capacité du dispositif à accueillir, écouter, analyser et orienter vers le service idoine.
Les services spécialisés dans la lutte contre la cybercriminalité développent leurs capacités tant en matière
d’investigation que d’analyse numérique (forensic). Le schéma général a conduit, dans ces deux domaines, à la
mise en place d’un réseau territorial animé ou piloté par les services centraux.
Innover
Le partenariat Public-Privé se développe, en particulier avec les opérateurs de l’Internet grâce à plusieurs
instances.
Le ministère s’engage également dans une démarche de recherche et de développement. Les échanges
s’intensifient avec le monde académique dans le cadre de conventions ou avec le monde économique dans
le cadre du conseil national de l’industrie (CNI) qui regroupe dix-huit filières françaises dont celle des
industries de sécurité.
Par ailleurs, le ministère innove en matière de transformation numérique et dématérialise ses processus
pour mieux signaler et communiquer autour du cyber, grâce à la plateforme d’assistance aux victimes
de cybermalveillance, aux équipements Néo, à la brigade numérique de la Gendarmerie ou au portail de
signalement en ligne des violences sexuelles et sexistes. Afin de mieux appréhender certains phénomènes de
masse relevant de la cybercriminalité, la plateforme Perceval, inaugurée en juin 2018, permet à toute victime
de signaler un usage frauduleux de sa carte bancaire. De même, le projet Thésée permettra prochainement
de porter plainte en ligne pour certaines escroqueries sur Internet.
Enfin l’élaboration de solutions d’identité numérique permettra, à partir de 2020, la mise en œuvre d’un
parcours d’identification numérique sécurisée pour les personnes physiques ou morales.
> 13 <
Partie 1
La lutte contre les cybermenaces recouvre
l’ensemble des actions menées en matière de lutte
contre la cybercriminalité, de cyberdéfense et de
sécurité des système d’information
Enjeux
stratégiques liés
aux cybermenaces
Partie I - Enjeux stratégiques liés aux cybermenaces
Au-delà de l’aspect purement cyber, la lutte contre les menaces liées au numérique représente des enjeux
stratégiques majeurs pour le ministère de l’Intérieur.
Si les cybermenaces favorisent l’émergence ou le développement de nouveaux comportements délictueux,
criminels ou même terroristes, elles revêtent également une dimension économique, à travers le
développement du marché de la cybersécurité notamment. Ces évolutions sont étudiées attentivement par
le ministère de l’Intérieur, qui veille à l’adaptation régulière des outils, normatifs et technologiques, dédiés à
la lutte contre la cybercriminalité. Par ailleurs, de nombreuses cyberattaques étant planifiées et organisées
depuis l’étranger, la coopération européenne et internationale est un outil précieux et nécessaire, de même
que la coopération entre les ministères de l’Intérieur et de la Justice.
Ces considérations d’ordre sociétal, économique, juridique, technologique et institutionnel seront
développées ci-après.
> 16 <
Leurs objectifs peuvent être résumés sous 4 rubriques :
> une fonction de propagande idéologique et de recrutement ;
> une fonction de plateforme opérationnelle ;
> une fonction de financement ;
> une fonction de revendication.
Toutefois, dégradée, aussi bien en termes de qualité que de quantité, la propagande de l’EI à
destination de la mouvance islamiste occidentale a décliné. En effet, l’organisation n’a pas diffusé
de vidéos mettant en scène des djihadistes francophones depuis la zone syro-irakienne depuis le
second semestre de l’année 2017, alors que cette pratique était courante auparavant.
L’EI est passé d’une entité territoriale à un réseau global. Si l’EI a perdu de nombreuses
infrastructures et territoires entraînant une baisse de production de contenus de propagande
terroriste, ses adeptes sont toujours présents en ligne. Ils sont appelés les « volontaires en
ligne ».
Selon Europol, même si les sympathisants de l’EI ont exprimé leur volonté d’acheter des outils
et des services aux fins de lancer des cyberattaques, leurs propres capacités offensives internes
semblent limitées et non organisées. Les sympathisants de l’EI ont réussi un petit nombre de
défacements et des piratages de faible niveau (tel que le piratage de la station de radio suédoise
en novembre 2017 durant lequel un Nasheed(1) de recrutement pour l’EI a été diffusé). En
mars 2018, l’EI a tenté de mettre à disposition de ses sympathisants un réseau social « Muslim’s
Network », mais sans adhésion de leur part au dispositif, ce fut un échec. Enfin, le recours aux
monnaies virtuelles pour financer des attaques terroristes reste marginal.
> 17 <
Partie I - Enjeux stratégiques liés aux cybermenaces
> 18 <
Importance du trafic de stupéfiants
La criminalité sur le darkweb, polymorphe et diversifiée, est notamment constituée de trafics
de stupéfiants et d’armes. Plus de 65 % (4) des annonces retrouvées sur « Alphabay », l’une des
principales places de marché anglophone avant qu’elle ne soit fermée en juillet 2017 par le Federal
Bureau of Investigation (FBI), concernaient la vente de stupéfiants ou de documentation connexe.
Les activités liées à la délinquance économique et financière représentaient près de 25 % des
annonces sur « Alphabay », avec notamment le vol et recel de données de cartes bancaires
dit carding, le trafic de fausse monnaie et de faux documents. Celles liées au trafic d’armes
s’élevaient à 5 %. La mise à disposition de logiciels malveillants, de guides méthodologiques ou
encore de kits de piratages représentait moins de 2 % des offres. Enfin une activité liée à la
pédopornographie(5) était alléguée par les médias.
Produits pharmaceutiques illicites ou détournés à d’autres fins
L’Office central de lutte contre les atteintes à l’environnement et à la santé publique (OCLAESP)
réalise sur le clearweb et le darkweb des veilles relatives au détournement des produits
pharmaceutiques. Son action s’inscrit dans le cadre national (veille proactive, signalements de la
plateforme PHAROS(6)), européen (« Task Force » d’Europol) et international (alertes d’autorités
étrangères).
D’innombrables pharmacies en ligne proposent des médicaments, souvent falsifiés, sans
aucun contrôle ni prescription. En parallèle, sur les marchés du darkweb, les mises en vente
concernent tant les produits commerciaux (falsifiés, contrefaits, volés) que les principes actifs,
les conditionnements (permettant la revente de faux) ou les excipients.
De nombreuses substances détournées de leur usage initial (prise en charge de la dépendance
et de l’addiction aux opiacés) sont également mises en vente, malgré leur dangerosité : la
buprénorphine, la méthadone, le fentanyl, le tramadol, etc. En cas de mélange, les effets et les
risques de surdose sont multipliés. Aussi, l’Office a informé et sensibilisé les forces de l’ordre, en
première ligne sur le terrain.
Par ailleurs, il est constaté une hausse significative de la vente d’hormones de croissance,
falsifiées ou non. Détournés à des fins dopantes, ces produits très onéreux sont prisés pour leur
efficacité, suscitant l’intérêt des consommateurs et des fournisseurs.
Suite à des investigations sur Internet, une opération judiciaire d’envergure en région
parisienne a conduit début 2018 à l’arrestation de cinq suspects de trafic international de
stéroïdes anabolisants, la saisie de 20 000 fioles importées illégalement pour une valeur
marchande de 400 000 €, ainsi que la confiscation d’avoirs criminels, dont une voiture de
sport estimée à 85 000 €. À l’issue, trois des mis en cause ont été placés en détention
provisoire et deux sous contrôle judiciaire.
(4) Les chiffres concernant les annonces sur Alphabay ont été établis à partir d’une consultation en date du 22/03/2017.
(5) Détention de l’image d’un mineur à caractère pornographique / diffusion de l’image d’un mineur à caractère pornographique via un réseau de
télécommunications.
(6) La plateforme PHAROS permet de signaler en ligne les contenus et comportements illicites de l’internet par le portail
https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
> 19 <
Partie I - Enjeux stratégiques liés aux cybermenaces
(7) Cf. §1.3.2 : éléments sur la directive NIS (UE) 2016/1148 et son adaptation en droit français en 2018.
> 20 <
1.2.1 Le développement du marché de la cybersécurité
Répondant à un besoin fondamental des citoyens, la filière des industries de sécurité couvre les
secteurs marchand (industriels, services) et public (forces de sécurité, douanes, justice pénale,
etc.). Ce sujet est suivi de près par la Délégation ministérielle aux industries de sécurité et à la
lutte contre les cybermenaces (DMISC), qui accomplit, pour le cabinet du ministre de l’Intérieur,
des travaux d’analyse stratégique, de veille et de prospective. La filière industrielle de sécurité(8),
dont le chiffre d’affaires est évalué à 25 milliards d’euros en 2016 (hors sécurité privée), est
organisée en trois segments : les produits physiques de sécurité (35 %), les produits électroniques
(36 %) et enfin les produits et services de cybersécurité (29 %).
(8) Données fournies par l’Observatoire de la filière des industries de sécurité (COFIS). Cf. § 3.3.2.2.
(9) Les chiffres indiqués dans le rapport 2018 provenaient de l’observatoire de la Confiance Numérique (ACN) qui couvrait
un champ d’entreprises plus large.
> 21 <
Partie I - Enjeux stratégiques liés aux cybermenaces
La cybersécurité représente un peu moins d’un tiers de l’activité de la filière mais se distingue
par une croissance significative : 12 %, soit le double de la croissance annuelle moyenne du
secteur marchand. Sa famille d’activité rassemble des entreprises plurielles. Elle se compose de
prestataires de services (67 %), de producteurs (24 %) et de distributeurs (24 %), comme de
grands groupes, de petites et moyennes entreprises (PME), d’entreprises de taille intermédiaire
(ETI) et de start-up. Il convient de relever que l’industrie française compte en son sein des
leaders mondiaux, notamment en matière de gestion des identités (Gemalto) et de conseil (Cap
Gemini, Atos, Sopra Steria, Orange).
Le marché de la cybersécurité est en pleine expansion. Il est amené à croître davantage, à
travers la mise en œuvre des cinq projets industriels structurants élaborés par les industriels
et l’État pour la filière à l’horizon 2025 : la cybersécurité et la sécurité des objets connectés en
premier lieu, mais aussi la sécurité des grands évènements et des jeux olympiques (JO) 2024,
l’identité numérique, les territoires de confiance et le Cloud souverain. Ces travaux seront les
premiers réalisés, en matière industrielle de sécurité, au sein du Conseil national de l’industrie
(voir 3.4.2.2).
Concomitamment, le développement du marché de l’assurance cyber permet aux entreprises
de réduire l’impact financier lié à une cyber-attaque, voire de bénéficier, le cas échéant, de
l’assistance d’experts mobilisés par l’assureur. Contribuant également à la prise de conscience,
à l’encouragement des investissements et à l’amélioration de la réponse aux incidents cyber,
ce marché de l’assurance s’étoffe progressivement, y compris maintenant sur le segment des
PME(10).
La perception par les chefs d’entreprise reste difficile en raison de la singularisation du risque
cyber et de ses caractéristiques diamétralement opposées au risque industriel, par nature plus
stable et circonscrit(11).
La propriété intellectuelle, la réputation, la perte d’opportunité sont des actifs intangibles
particulièrement exposés au risque cyber. Leur poids dans la valorisation des entreprises a
considérablement augmenté et ils représentent désormais une part significative des pertes
potentielles. Sur ce point, le marché peine encore à être en mesure d’assurer ce type d’actifs de
façon standardisée(12).
(10) Les PME face aux enjeux de sécurité informatique, Etude IFOP du 5 au 9 novembre 2018 de nature quantitative auprès de 702 décideurs,
réalisée pour Kaspersky et Euler Hermes : 43 % déclarent avoir une assurance face au cyber.
(11) Etude Bessé & PWC : « Les dirigeants d’ETI face à la menace cyber » mars 2018.
(12) Rapport du Club des juristes « Assurer le risque cyber », janvier 2018.
> 22 <
Afin de limiter tout risque d’ingérence, une attention particulière doit donc être portée à la
protection des systèmes d’information, lorsque l’entreprise affronte un moment clé de son
fonctionnement (acquisition, négociations salariales, réalisation d’audits de conformité(13), bilan
annuel, renégociation contractuelle, etc.). En outre, les entreprises doivent prendre conscience
des risques d’ingérence économique lorsqu’elles pénètrent sur des marchés stratégiques pour
d’autres entités.
(13) En particulier dans le cas d’une démarche de mise en conformité soutenue par des cabinets de conseil et des sociétés d’investigation numérique
étrangers.
(14) https://lejournal.cnrs.fr/articles/numerique-le-grand-gachis-energetique
(15) 10 milliards de mails transitent toutes les heures sur la Toile.
(16) Les besoins en électricité d’un data center sont énormes, classiquement autant qu’une ville de 30 000 habitants.
(17) https://www.amif.asso.fr/vie-de-l-association/colloques-debats/1085-colloque-numerique-penser-la-ville-intelligente2
> 23 <
Partie I - Enjeux stratégiques liés aux cybermenaces
> 24 <
sécurité des systèmes d’information (ANSSI), en améliorant ses capacités de détection
des événements susceptibles d’affecter la sécurité des systèmes d’information de l’État,
des autorités publiques et d’opérateurs publics et privés : mise en œuvre de dispositifs de
détection (sondes) par les opérateurs de communications électroniques, possibilité pour
l’ANSSI de demander des informations techniques dans certains cas et de mettre en place
temporairement des sondes en cas de menace grave et imminente.
●
Loin° 2018-1202 et loi organique n° 2018-1201 du 22 décembre 2018 relatives à la
manipulation de l’information.
Ces lois visent à lutter contre la manipulation de l’information et à endiguer la diffusion de
fausses informations pendant les périodes de campagne électorale. Elles créent notamment
une nouvelle voie de référé civil visant à faire cesser la diffusion de fausses informations
durant les trois mois précédant un scrutin national. Quand il est saisi, le juge des référés doit
apprécier, sous 48 heures, si ces fausses informations sont diffusées « de manière artificielle
ou automatisée » et « massive ».
Dans sa décision du 20 décembre 2018, le Conseil constitutionnel a précisé que le juge ne
pouvait faire cesser la diffusion d’une information que si le caractère inexact ou trompeur
de l’information était manifeste et que le risque d’altération de la sincérité du scrutin était
également manifeste.
Les plateformes numériques sont soumises à des obligations de transparence lorsqu’elles
diffusent des contenus contre rémunération. Celles qui dépassent un certain volume de
connexions par jour doivent avoir un représentant légal en France et rendre publics leurs
algorithmes.
●
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a
modifié la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
afin de l’adapter au Règlement général de protection des données (RGPD) et de transposer
la directive 2016/680 (voir § 1.3.2 ci-après).
La mise en conformité de la loi nationale à ces textes européens s’est poursuivie par l’adoption
de l’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de
cette loi et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique,
aux fichiers et aux libertés et diverses dispositions concernant la protection des données à
caractère personnel. Cette ordonnance a pour principal objectif de simplifier la lecture de la
loi du 6 janvier 1978 susmentionnée et d’en améliorer la cohérence. La nouvelle rédaction
devrait entrer en vigueur au plus tard le 1er juin 2019.
Cette mise en conformité du droit national avec le droit européen a principalement pour
conséquence de renforcer les droits des personnes, ainsi que les obligations assignées aux
responsables de traitement. Ceux-ci ont par exemple l’obligation de réaliser une analyse
d’impact relative à la protection des données lorsqu’il existe un risque élevé pour les droits
et libertés des personnes, ainsi que l’obligation de prendre les mesures de sécurité adéquates
afin de protéger au mieux les données des personnes concernées.
Jurisprudence
À l’issue d’une procédure en référé initiée par le Parquet de Paris, le tribunal de grande instance
(TGI) de Paris, dans une décision rendue le 27 novembre 2018, a ordonné à neuf fournisseurs
d’accès à Internet (FAI) français de bloquer, sans limite de temps et dans un délai de 15 jours,
l’accès depuis la France au site internet « Démocratie participative », connu pour ses propos
racistes, antisémites et homophobes et dont les auteurs, éditeurs et hébergeurs n’avaient pas pu
être attraits devant la justice française.
> 25 <
Partie I - Enjeux stratégiques liés aux cybermenaces
Perspectives
Il convient de noter qu’au niveau national, un plan de lutte contre le racisme et l’antisémitisme
a été présenté le lundi 19 mars 2018 par le Premier ministre dont la visée première est la lutte
contre la haine en ligne. À ce titre, plusieurs objectifs sont retenus, notamment la construction
à l’échelle européenne d’un cadre juridique de la responsabilité des plateformes numériques
pour les contenus haineux, racistes et antisémites et l’évolution de la législation nationale pour
lutter de façon plus efficace contre la haine sur internet. Prévu par ce plan, un rapport consacré
au renforcement de la lutte contre le racisme et l’antisémitisme sur Internet a été remis le
20 septembre 2018 au Premier ministre. Établi par la députée Lætitia Avia, l’écrivain Karim
Amellal et le vice-président du CRIF(18), Gil Taieb, il vise à répondre à la prolifération des contenus
haineux sur Internet. Il présente, entre autres, les propositions suivantes : rendre plus claires et
plus simples les procédures de signalement des contenus illicites ; fixer un délai maximal pour
le retrait des contenus haineux ; et mettre en place des sanctions financières dissuasives pour
les opérateurs qui ne s’acquittent pas de leurs obligations en matière de retrait des contenus
haineux. Les propositions du rapport sont approfondies dans le cadre des EGRN. Le 20 mars
2019, plusieurs députés dont Lætitia Avia ont déposé à l’Assemblée nationale une proposition
de loi visant à lutter contre la haine sur Internet. Celle-ci propose des modifications de la loi en
vigueur (LCEN - Loi pour la confiance dans l’économie numérique).
Pour lutter efficacement contre les menaces actuelles ou émergentes, notamment contre
les atteintes aux systèmes de traitement automatisé de données (systèmes d’information), il
apparaît nécessaire de développer d’autres approches en matière d’investigations, notamment
via le recours à la technique d’enquête sous pseudonyme(19). En effet, son développement
opérationnel constitue un enjeu majeur de l’efficacité de l’action des services judiciaires face
aux évolutions des modes opératoires criminels sur les darknets.
La loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice
contenait des dispositions relatives au recours aux interceptions par la voie des communications
électroniques, à la géolocalisation, à l’enquête sous pseudonyme et aux techniques spéciales
d’enquête. Dans sa décision n° 2019-778 DC du 21 mars 2019, le Conseil constitutionnel a
néanmoins censuré les dispositions modifiant les conditions du recours, dans le cadre d’une
enquête ou d’une information judiciaire, à des interceptions de correspondances émises par la
voie de communications électroniques, ainsi que celles autorisant la généralisation du recours
à des techniques spéciales d’enquête, dans le cadre d’une enquête de flagrance ou préliminaire,
à tous types de crimes. Concernant les aspects « cyber » du texte, cette loi procède à
l’harmonisation du régime de l’enquête sous pseudonyme(20) (nouvel article 230-46 du code de
procédure pénale), consacre la plainte en ligne, fournit un cadre adapté aux plateformes Thésee
et Perceval (cf. § 3.4.4) et donne une précision sur le régime de la captation judiciaire de données
informatiques (périphériques audiovisuels).
> 26 <
1.3.2 L’impact des directives, des règlements et de la jurisprudence européens sur la lutte
contre les cybermenaces
Plusieurs textes concernent directement la lutte contre les cybermenaces en Europe. Présentant
divers champs d’application, ils nécessitent, le cas échéant, une transposition en droit national. À
ce titre, on peut citer :
● Le règlement (UE) 2016/679(21) du 27 avril 2016 relatif à « la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la libre circulation
de ces données et abrogeant la directive 95/46/CE » (règlement général sur la protection
des données ou RGPD) et la directive (UE) 2016/680(22) relative à « la protection
des personnes physiques à l’égard du traitement des données à caractère personnel par
les autorités compétentes à des fins de prévention et de détection des infractions pénales,
d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre
circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ». Cette
directive (UE) 2016/680 a été transposée au chapitre XIII de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés par la loi n° 2018-493 du 20 juin 2018
relative à la protection des données personnelles.
La
● directive (UE) 2016/1148(23) du 6 juillet 2016 concernant des mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans
l’Union (directive NIS). Cette directive a été transposée par la loi n° 2018-133 du 26 février
2018, dont le titre Ier porte diverses dispositions d’adaptation au droit de l’Union européenne
dans le domaine de la sécurité. Elle a été complétée par :
> le décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes
d’information des opérateurs de services essentiels et des fournisseurs de service
numérique ;
> l’arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8,
11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et
systèmes d’information des opérateurs de services essentiels et des fournisseurs de
service numérique ;
> l’arrêté du 1er août 2018 relatif au coût d’un contrôle effectué par l’Agence nationale
de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi
n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de
l’Union européenne dans le domaine de la sécurité ;
> l’arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés
à l’article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et
systèmes d’information des opérateurs de services essentiels et des fournisseurs de
service numérique.
● La directive (UE) 2018/1808 a révisé la directive « Services de médias audiovisuels »
(SMA) 2010/13/UE(24) qui vise notamment à assurer la libre prestation de ces services au sein
de l’Union. Si les fournisseurs de SMA étaient déjà tenus de ne pas diffuser de programmes
incitant à la haine ou à la violence, le nouveau texte mentionne expressément l’interdiction
des contenus constituant une provocation au terrorisme. Par ailleurs, les fournisseurs
(21) http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
(22) http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0680
(23) http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L1148
(24) http://eur-lex.europa.eu/legal-content/FR/AUTO/?uri=CELEX:02010L0013-20100505&qid=1515675367632
> 27 <
Partie I - Enjeux stratégiques liés aux cybermenaces
(25) http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32008F0913
(26) Données stockées relatives aux abonnés, à l’accès, aux transactions et au contenu.
(27) FSI : hébergeurs de données, réseaux sociaux, fournisseurs d’accès à Internet, etc.
(28) L’« ordre européen de production », mécanisme par lequel les autorités d’émission d’un État-Membre seront habilitées à demander la production
d’une preuve électronique à un opérateur fournissant des services sur le territoire de l’UE, sans considération du lieu de stockage de ces données
ou du siège social de cet opérateur ; et l’« ordre européen de préservation » par lequel les autorités d’émission pourront solliciter le gel de la
preuve électronique.
> 28 <
compétente. Le texte a fait l’objet d’une orientation générale au Conseil Justice et Affaires
intérieures des 6 et 7 décembre 2018. Le Parlement européen n’a pas encore adopté de
position.
● En avril 2018, la Commission a proposé l’élaboration d’un code de bonnes pratiques afin de
lutter contre la désinformation en ligne en instaurant, entre autres, des mesures permettant
de repérer et fermer les faux comptes sur les réseaux sociaux et en faisant appel à un réseau
européen de vérificateurs de faits indépendants.
Jurisprudence
Par un arrêt du 21 décembre 2016(29) la Cour de Justice de l’Union européenne (CJUE) s’est
prononcée dans deux affaires, en Suède et au Royaume-Uni, portant sur l’obligation imposée aux
fournisseurs de services de communications électroniques, de conserver de façon généralisée
et indifférenciée, les données relatives à ces communications. La CJUE a indiqué que le droit
de l’Union, à savoir la directive Vie privée et communications électroniques 2002/58/CE, lue
à la lumière de la Charte des droits fondamentaux de l’Union européenne, s’opposait à une
réglementation nationale prévoyant une conservation généralisée et indifférenciée des données
de trafic et supposait que l’accès aux données conservées s’effectue après un contrôle préalable
par une juridiction ou une autorité administrative indépendante.
Au sein du Conseil, un groupe de travail (« DAPIX ») a été mandaté début 2017 afin d’identifier
des solutions aux difficultés opérationnelles et juridiques soulevées par cet arrêt. Un état des lieux
a été dressé sur des dispositions censées garantir le renforcement des libertés fondamentales(30).
Aucune mesure n’a pu être identifiée pour le moment comme étant pleinement satisfaisante au
regard des critères juridiques et opérationnels. Dans ce contexte, le 26 juillet 2018, le Conseil
d’État français a mentionné toute l’utilité de la conservation des données, notamment au regard
de la sécurité nationale(31).
Dans l’affaire C-207/16 (Ministerio Fiscal), la CJUE a été interrogée sur la notion de « gravité
suffisante de l’infraction » permettant de justifier la conservation des données. Elle a jugé le
2 octobre 2018 que l’article 15, paragraphe 1, de la directive vie privée et communications
électroniques, lu à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union
européenne, devait être interprété en ce sens que l’accès d’autorités publiques aux données
visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé,
telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence
dans les droits fondamentaux de ces derniers, consacrés à ces articles de la charte des droits
fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière
de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre
la criminalité grave. Ainsi, bien que ces accès constituent une ingérence, la Cour considère qu’ils
sont licites pour des infractions d’une certaine gravité.
> 29 <
Partie I - Enjeux stratégiques liés aux cybermenaces
> 30 <
conformant aux règles énoncées dans le RGPD visant à la protection des données personnelles.
Des discussions ont été initiées entre l’UE et l’organisme en charge de la gestion de cette base
de données dénommé « Internet Corporation for Assigned Names and Numbers » (ICANN). En
juin 2018, l’ICANN a établi un nouvel « expedited Policy Development Process » (ePDP), en vertu
duquel il devrait travailler sur un modèle d’accès standardisé à la base des noms de domaine,
pour toute personne physique ou morale ayant un intérêt légitime.
Ainsi, au niveau européen, la législation se construit progressivement ; elle est loin de répondre
efficacement aux enjeux actuels.
(33) Illustré notamment par l’arrêt CJUE Tele2 Sverige du 21 décembre 2016 sur la conservation des données.
(34) Source : division de l’anticipation et de l’analyse (D2A) de la SDLC - CSIRT-PJ
(35) Mettant à disposition différents contenus non indexés présents, le darkweb est accessible par le biais de réseaux d’anonymisation spécifiques. Le
réseau TOR est le plus connu et le plus utilisé d’entre eux.
(36) Vente d’identifiant/mot de passe, site de « stresser » pour lancer des attaques Ddos, botnets…
(37) Solid State Drive.
> 31 <
Partie I - Enjeux stratégiques liés aux cybermenaces
Les réseaux sociaux (Facebook, Snapchat, Instagram) sont devenus de véritables « supermarchés » de
la vente de produits frauduleux (voyages, séjours, numéros de carte bancaire, faux papiers…) favorisant
l’anonymat. Les investigations y restent ardues.
Au niveau des flux financiers, un certain nombre de difficultés demeure, lié notamment à la facilité
d’ouvrir un compte en ligne à l’étranger et à la pratique fréquente d’utilisation de comptes rebonds
pour récupérer les fonds provenant d’une activité illicite sur le territoire national. En outre, il est
possible d’acheter facilement des terminaux de paiement électroniques (TPE) mobiles (qui peuvent
servir à récupérer les données bancaires).
Le traçage en temps réel des flux financiers reste très compliqué, le secret bancaire demeure une réalité.
La coopération internationale bancaire et policière est en effet particulièrement réduite avec certains
pays.
> 32 <
convention fait toutefois débat. En 2018, certains pays entrainés par la Russie ont soutenu le
projet d’une convention de lutte contre la cybercriminalité qui serait négociée entre l’intégralité
des États membres de l’ONU. La conférence CPCJP de l’ONUDC(38) à Vienne, en mars 2019, a
confirmé ce clivage sans parvenir à une décision sur l’ouverture de travaux en vue d’un texte
onusien.
La mise en œuvre et l’extension de la convention de Budapest se font en complémentarité de
l’engagement du G7 en faveur de la lutte contre la cybercriminalité et le terrorisme. Le G7 a réuni
en 2018 son groupe dédié, le HTCSG (High Tech Crime Subgroup), qui œuvre au développement
de son propre réseau de points de contact 24/7 (complémentaire à celui de la convention de
Budapest) et au renforcement de dispositifs (cybersécurité aérienne…). Il soutient les intérêts
des services de police dans les grands enjeux internationaux : l’accès à la base WHOIS de
l’ICANN, la réflexion sur le chiffrement, le soutien à la convention de Budapest… La dernière
réunion du Groupe Lyon-Rome (GLR) des 6, 7 et 8 mars 2019 a poursuivi ces travaux.
(38) Commission sur la Prévention du Crime et la Justice Pénale de l’Office des Nations unies contre la drogue et le crime.
(39) European multidisciplinary platform against criminal threats.
> 33 <
Partie I - Enjeux stratégiques liés aux cybermenaces
Faso, au Mali, en Mauritanie ou au Togo. Il a fourni son expertise au Conseil de l’Europe, dans
le cadre de ses programmes de renforcement de compétences développés au bénéfice de pays
candidats à la convention de Budapest, tout particulièrement l’Algérie, la Tunisie et le Maroc
(programme « Cyber Sud » poursuivi en 2019). L’OCLCTIC et la DCI demeurent par ailleurs
partenaires du programme GLACY + du Conseil de l’Europe qui porte également sur le
renforcement de compétence des pays candidats à la Convention.
Au plan opérationnel, le point de contact 24/7 (issu du G7 et de la convention de Budapest) de
l’OCLCTIC a géré :
> 2053 messages transmis par le réseau d’Interpol ;
> 849 messages transmis par le réseau d’Europol ;
> 246 demandes de gel de données (réseau G7/convention de Budapest) au bénéfice d’enquêteurs
français ou réciproquement, à la demande de services étrangers.
Au niveau européen, le chef de l’OCLCTIC a assuré, en 2018, la présidence de l’EUCTF (European
cybercrime task force), qui réunit les chefs des services cyber des pays de l’UE.
L’unité cyber d’Europol (European Cybercrime Centre - EC3) constitue un dispositif de soutien aux
services d’investigation des pays de l’UE. Au moyen des programmes EMPACT qui concernent
notamment la lutte contre les cyberattaques, les fraudes aux moyens de paiement non liquides
et les atteintes aux mineurs, l’agence promeut, de concert avec les polices européennes, des
coopérations transverses, préalables à de nombreuses activités opérationnelles impliquant parfois
des partenaires extérieurs à l’Europe. Ce cadre d’action concourt à un partage d’expertise, à la
définition de nouveaux moyens, au développement de nouvelles coopérations et de partenariats
avec le secteur privé.
Au sein des programmes EMPACT, la France est impliquée :
> dans le groupe de travail « lutte contre les cyberattaques », où la Sous-direction de lutte
contre la cybercriminalité (SDLC) pilote une action visant à la mise en place d’un mécanisme
de réponse coordonnée à incident en cas d’attaque cyber majeure et une autre visant à
l’optimisation de la collaboration avec le secteur privé par le développement du modèle des
CERT, et où la DMISC pilote une troisième action portant sur la création d’un réseau d’experts
ayant pour objectif de former les enquêteurs aux outils de la gouvernance de l’Internet et
d’influer sur les politiques, en représentant les intérêts des enquêteurs européens ;
> dans le groupe « fraude aux moyens de paiement », où l’OCLCTIC, au niveau national, a
assuré la coordination de l’opération européenne coordonnée « e-Commerce Action » qui a
impliqué 28 pays et permis l’arrestation de 95 suspects début juin 2018.
L’agence européenne se pose aussi comme un acteur précieux dans les réflexions internationales
portant sur l’enjeu de l’investigation face aux évolutions de l’espace numérique. En 2018, elle a
contribué à l’état des lieux des données utiles dans le débat sur la conservation des données.
Elle demeure un contributeur global dans les réflexions sur la preuve numérique, le chiffrement,
et toute problématique numérique qui concerne l’investigation. En dépit des limites de son
mandat et des obstacles juridiques rencontrés, elle constituerait une option intéressante pour
y développer une plateforme d’accès aux données WHOIS au bénéfice des enquêteurs de l’UE.
> 34 <
Focus sur l’action judiciaire transnationale
À ce titre, la section F1 du parquet de Paris centralise des attaques cyber sérielles, telles que
les rançongiciels et dirige des enquêtes portant sur des attaques contre des infrastructures
sensibles. Elle dirige aussi les enquêtes relatives aux deux cyber-attaques mondiales ayant émaillé
l’année 2017, Wannacry le 12 mai 2017 et NotPetya le 27 juin 2017. Cette dernière enquête est
à ce jour la plus vaste enquête internationale jamais conduite, quelle que soit la matière.
Cette internationalisation du contentieux et des enquêtes a été couronnée de nombreux succès
en termes de coopération internationale. Dans l’exemple du piratage informatique fin 2018 d’un
prestataire privé détenant des plans d’établissement relevant de la sécurité nationale et rendus
publics sur Internet, la section F1 a su mobiliser en quelques heures les autorités judiciaires
allemandes pour aboutir à la saisie d’un serveur en Allemagne et ainsi obtenir le retrait de ces
plans.
> 35 <
Partie II
Usages
et phénomènes
constatés
Partie II - Usages et phénomènes constatés
Les principaux enjeux stratégiques ayant été identifiés, il convient de préciser les usages des citoyens, des
collectivités, des administrations et des entreprises, ainsi que les phénomènes observés. Cette approche
permet éventuellement de confirmer les priorités identifiées ou d’envisager des sujets émergents auxquels
il faut se préparer.
Tout nouveau produit ou service numérique devient une cible potentielle des cybermalveillances. Toute
vulnérabilité dans les systèmes et les plateformes numériques sera systématiquement exploitée.
2.1 Usages
2.1.1 Internet, médias sociaux et smartphones
En juin 2018, le taux de pénétration de l’Internet(41) est de 55,1 % au niveau mondial, 85,2 % en
Europe, 88 % en France. La croissance de l’Internet mobile(42) est la plus forte dans les régions
en voie de développement ; fin 2018, le taux de pénétration de ces équipements y atteint 61 %.
Les sites Internet les plus visités en France(43) sont en décembre 2018 : Google, Facebook,
Microsoft (même trio qu’en 2017), Groupe Figaro, Amazon, Groupe TF1, Altice (SFR-
Numéricable), Webedia, puis Web66, Prisma Media, Wikimedia, Orange, et Vivendi.
L’usage des réseaux sociaux(44) est toujours en hausse, avec environ 3,3 milliards d’utilisateurs au
niveau mondial selon les estimations, ainsi qu’un nombre d’utilisateurs réguliers en janvier 2019
de 2,27 milliards pour Facebook (+5 %), 1,9 milliards pour YouTube, 1,5 milliards pour
WhatsApp (=), 1 milliard pour Instagram ou encore 326 millions pour Twitter. Le classement
est évidemment variable dans les différents pays, avec de nombreux utilisateurs chinois pour
Tencent QQ ou russes pour Vkontakte.
Le taux de pénétration des grands réseaux sociaux en France est de 59 % (nombre de comptes
par rapport à la population(45)) et la durée moyenne d’utilisation quotidienne de 1,36 heure. En
France, les réseaux sociaux les plus importants sont Facebook (40 millions d’utilisateurs par
mois),YouTube (37), Twitter (20), Instagram (19), LinkedIn (16), Snapchat (13) et WhatsApp (13).
Les achats en ligne(46) continuent de se développer avec 78 % des habitants ayant réalisé un
achat au cours du mois de janvier 2018 au Royaume-Uni, 74 % en Allemagne ou encore 61 %
en France.
Depuis quelques années, on constate l’émergence du smartphone comme plateforme multi-
usages. Le taux d’équipement en smartphone des Français a nettement progressé depuis 2011,
pour atteindre 78 % en 2018 (en téléphonie mobile le taux s’est stabilisé à 94 %)(47).
Pour la septième année consécutive, les livraisons mondiales de PC reculent, même si les deux
dernières années indiquent une certaine stabilisation autour de 259 millions d’unités. Cela
montre que le marché du PC est depuis longtemps déjà un marché de renouvellement. Le
cabinet Gartner ne prévoit toutefois pas la disparition de l’ordinateur fixe dans les foyers.
Après une décélération, le marché des smartphones est en baisse depuis deux ans. Les
constructeurs s’efforcent d’accroître leur chiffre d’affaires par smartphone vendu, mais les
consommateurs ne semblent pas tous prêts à investir de nouveau. Le marché français est proche
de la saturation. Les primo-accédants se font plus rares. Le marché d’équipement est devenu un
marché de renouvellement avec une utilisation des terminaux plus durable.
(41) http://www.internetworldstats.com/
(42) https://www.itu.int/en/ITU-D/Statistics/Documents/publications/misr2018/MISR-2018-Vol-1-E.pdf
(43) http://www.statista.com/statistics/473883/sites-internet-les-plus-visites-france/
(44) http://www.statista.com/statistics/272014/global-social-networks-ranked-by-number-of-users/
(45) https://www.blogdumoderateur.com/50-chiffres-medias-sociaux-2018/
(46) We Are Social Singapour : http://fr.slideshare.net/wearesocialsg/
(47) CREDOC – « Enquêtes sur les conditions de vie et les aspirations - 2018 » (population de 12 ans et plus).
> 38 <
1 600 Ventes
en millions
1 200
800
400
0
2010 2011 2012 2013 2014 2015 2016 2017 2018
(48) Des échanges sont possibles avec des monnaies ayant cours légal.
> 39 <
Partie II - Usages et phénomènes constatés
connaissance client (Know your customer(49)). En France, les dispositions du Code monétaire et
financier (art. R.561-16-1) n’imposent un contrôle que sur des cartes permettant le stockage de
monnaie électronique de plus de 250 euros pour un produit non rechargeable ou de 250 euros
par mois pour un produit rechargeable. Il a été constaté que certains milieux criminels utilisent
des cartes Bitcoin to Plastic en s’appuyant sur la possibilité de contourner ces seuils.
Un cadre réglementaire se met progressivement en place autour de l’écosystème des crypto
monnaies et des nouvelles méthodes de levée de fonds utilisant les cryptomonnaies, telles que
les ICO (Initial coin offering). Une proposition d’amendement à la loi PACTE (Plan d’Action pour
la Croissance et la Transformation des Entreprises) adoptée en seconde lecture à l’Assemblée
nationale officialise la réflexion sur la « bancarisation » des acteurs dans le domaine des crypto
monnaies. Acteurs et porteurs de projets devraient dès lors pouvoir, via l’Autorité des marchés
financiers (AMF), obtenir un visa certifiant le respect des normes anti-blanchiment ainsi que
l’origine des fonds en cryptomonnaies qu’ils manipulent.
(49) Les processus KYC sont utilisés par les entreprises afin de s’assurer de la conformité des clients face aux législations anti-corruption ainsi que
pour prévenir l’usurpation d’identité, la fraude fiscale, et le blanchiment.
> 40 <
Figure 4 : Architecture IoT
Source https://blog.octo.com/modeles-architectures-internet-des-objets/
En second lieu, les objets connectés véhiculent plusieurs types de données. Ces
données peuvent être à caractère personnel (signes vitaux, géolocalisation, fréquence
d’utilisation d’objets pouvant toucher l’intimité de l’utilisateur, etc.), professionnel
(données stratégiques) ou public et provenir de sources ouvertes (capteurs d’UV, de
luminosité, de température, etc.).
En troisième lieu, les objets connectés ont différents domaines d’application. Les
objets grand public couvrent la majeure partie des usages actuels et proposent notamment
à l’utilisateur un meilleur confort de vie (domotique, montre, chaussure, robots, etc.), ou
un meilleur suivi de sa santé (mesures du diabète, de la pression artérielle, du sommeil, de
l’activité cérébrale, etc.). Les objets connectés concernent aussi l’industrie, qui les utilise
pour améliorer ses process (suivi des stocks, gestion d’équipements) et commercialiser
les objets grand public. Enfin, les équipements dits « de relais » (routeurs, passerelles,
gateway), qui constituent l’infrastructure connectée nécessaire au fonctionnement de cet
écosystème numérique, sont des éléments à prendre en considération.
2.1.3.2 Sécurité et traçabilité des objets connectés
La multiplication du nombre d’objets connectés constitue un facteur de vulnérabilité,
ainsi qu’une nouvelle ressource pour les réseaux de robots (botnets).
Le renforcement de la législation sur les IoT et une connaissance affinée de leurs
caractéristiques techniques constituent un enjeu majeur de sécurité. Le Code des
communications électroniques européen(50) s’applique aux transmissions entre
objets connectés, de même que la directive sur la vie privée et les communications
électroniques(51) quand le service est disponible pour le public. Les applications et services
IoT sont couverts par le RGPD et la directive sur le commerce électronique(52).
(50) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018L1972&from=FR
(51) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32002L0058&from=FR
(52) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32000L0031&from=FR
> 41 <
Partie II - Usages et phénomènes constatés
(53) Les données des constructeurs et les résultats de tests en laboratoire permettant l’adjonction d’un numéro identifiant les appareils sont rendus
publics sur le site internet de la United States Federal Communications Commission (FCC). https://www.fcc.gov/oet/ea/fccid
> 42 <
interministérielle depuis qu’un arrêté de 2018(54), intégrant un volet de cybersécurité,
dispose que les demandes d’autorisation d’expérimentation de véhicules autonomes sur
la voie publique doivent être adressées conjointement aux ministères de l’Intérieur et de
la Transition écologique et solidaire. Les établissements de recherche, à l’instar de l’IRT
System X ou Télécom ParisTech (chaire « Connected Cars and Cybersecurity »), regroupent
également des chercheurs et des acteurs industriels autour de cette thématique à
laquelle l’ANSSI est associée. L’industrie automobile dans son ensemble a également
pris conscience de l’enjeu que représente la cybersécurité à travers la normalisation(55).
Toutes ces initiatives constituent une première étape dans la prise en compte de la
problématique de cybersécurité des véhicules.
2.1.3.4 Les drones
Désormais accessible à faibles coûts au grand public, l’usage des drones civils offre à la
fois de nouvelles opportunités, mais aussi de nouvelles menaces. Leur usage peut être
malveillant, ou l’usage habituel détourné. Les risques sont réels pour les personnes à
l’instar de l’atteinte à la vie privée, mais aussi les installations. On peut citer le survol
de complexes militaires ou d’infrastructures critiques, mais aussi des aéroports : en
décembre 2018, victime d’un survol délibéré de deux drones empêchant tout trafic
aérien, l’aéroport de Gatwick a dû fermer ses portes, perturbant ainsi les voyages de
140 000 passagers à la veille des fêtes de fin d’année et générant des pertes économiques
significatives. Cet incident a conduit à l’interdiction, depuis mars 2019, du survol de drone
dans une zone de 5 kilomètres autour des aéroports britanniques. Plus globalement,
l’Agence européenne de la sécurité aérienne (AESA) a recensé un nombre croissant
d’incidents entre des drones de loisir et des avions de ligne. Plusieurs usages hostiles
notamment le vol en essaim peuvent également rendre aveugle un système aérien de
défense en saturant le nombre de cibles à atteindre.
Face au risque croissant d’un usage malveillant ou détourné de drones, plusieurs
réponses sont possibles. L’encadrement de l’usage des drones de loisir passe d’abord par
des mesures d’accompagnement des consommateurs : la Direction générale de l’aviation
civile (DGAC) a mis à leur disposition une carte interactive(56), ainsi qu’une notice
d’avertissement rédigée conjointement avec la Commission nationale Informatique et
Libertés - CNIL(57).
Cet encadrement se traduit également par des mesures contraignantes(58), compte tenu
des risques que fait peser l’utilisation des drones – notamment ceux équipés de caméras,
micros et autres capteurs – sur les droits et libertés fondamentaux, et le droit à la vie
privée en particulier. Il existe des règles générales pour tous les drones de loisir, et des
règles plus spécifiques pour les drones pilotés à distance grâce à la vidéo, ou pour les
drones autonomes qui se pilotent tout seuls grâce à un logiciel d’intelligence artificielle
ou un programme de vol préprogrammé. La réflexion menée par le Secrétariat général
de la défense et de la sécurité nationale (SGDSN) a débouché sur la loi relative au
renforcement de la sécurité de l’usage des drones civils(59), entrée en vigueur le 1er juillet
(54) Arrêté du 17 avril 2018 relatif à l’expérimentation de véhicules à délégation de conduite sur les voies publiques :
https://www.legifrance.gouv.fr/eli/arrete/2018/4/17/TRER1717820A/jo/texte
(55) On peut citer la norme ISO/SAE 21434 « Road Vehicles – Cybersecurity Engineering », qui vise, à partir de 2020, la prise en compte de l’aspect
cyber tout au long du cycle de vie du véhicule, dès sa phase de conception, ainsi que l’activité d’un groupe de travail dédié au sein du WP.29,
organe de l’ONU chargé d’harmoniser les règlementations en matière de véhicules.
(56) https://www.geoportail.gouv.fr/donnees/restrictions-pour drones-de-loisir
(57) https://www.cnil.fr/fr/ou-piloter-son-drone-de-loisir-et-quelles-precautions-en-matiere-de-vie-privee
(58) Arrêtés du 17 décembre 2015 relatifs à l’utilisation de l’espace aérien par les aéronefs qui circulent sans personne à bord et à la conception des
aéronefs civils qui circulent sans personne à bord, aux conditions de leur emploi et aux capacités requises des personnes qui les utilisent.
(59) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033293745&categorieLien=id
> 43 <
Partie II - Usages et phénomènes constatés
2018. Au niveau européen, l’UE travaille depuis 2014 à l’élaboration d’une réglementation
qui permettrait d’harmoniser les différentes législations des États sur le sujet. Au niveau
international, l’Organisation de l’aviation civile internationale (OACI) a lancé en 2017
une consultation entre les différents États en vue de mettre en place un système de suivi
mondial, qui permettra de connaître en temps réel la position et le propriétaire d’un
drone, ainsi que son modèle, sa position exacte et son altitude. Les résultats de cette
consultation ne sont pas connus à ce jour.
2.1.3.5 Les smart and safe cities
Le concept d’IoT est intimement lié à celui de smart and safe cities : la sécurisation des
territoires intelligents. En effet, l’ensemble des capteurs et objets connectés contribue à
la sécurité réelle et perçue des citoyens, ainsi qu’à la protection des personnes et des
biens. Ainsi, les caméras, le Cloud, les drones, l’intelligence artificielle ou la géolocalisation
constituent autant de nouveaux moyens de protéger les populations.
En 2017, plus de 2,3 milliards d’objets connectés étaient déjà déployés dans les smart
cities, sur un total de 8,4 milliards d’objets connectés dans le monde, soit un marché
de 1.700 milliards de dollars et un volume de 10²² octets de données. Des projections
donnent plus de 50 milliards d’objets connectés en 2020.
Si les objets connectés participent à la sécurisation des territoires, ils sont également
exposés aux menaces liées au numérique. Chaque objet connecté compterait entre 10
et 20 failles de sécurité. Or, les fabricants ne souhaitent ni densifier les lignes de codes, ni
durcir la connectivité ou les accès au cloud, et ce en raison du coût.
Aussi, les objets connectés doivent être protégés, ainsi que les données personnelles et
professionnelles qu’ils véhiculent. La smart and safe city doit, en premier lieu, faire l’objet
d’une évaluation de ses vulnérabilités et de ses risques, en vue de garantir la continuité
de ses services, voire la restauration de ses fonctions en cas d’attaque. En second lieu,
elle doit recommander et imposer un niveau élevé d’exigence en matière de protection
des réseaux et des technologies choisies. Ces dernières doivent préalablement avoir été
inspectées et testées, et idéalement être assorties d’un chiffrement des communications
utilisées entre les capteurs et les systèmes centraux ou périphériques.
(60) Selon Kaspersky, les supports amovibles (clés USD, cartes SD…) représentent 30% des infections par des malwares en entreprise
(livre blanc 2016 « sensibiliser vos collaborateurs à la sécurité informatique »).
> 44 <
> par exploitation d’une vulnérabilité sur le système via une plateforme
d’exploits (ou exploit kit), vers laquelle l’utilisateur est attiré ou redirigé dans sa
navigation Internet (notamment en recevant un lien par courrier électronique ou
sur un réseau social, mais aussi depuis des bannières publicitaires malveillantes ou la
modification d’un site Web souvent visité – technique dite du trou d’eau) ;
> Par une personne malveillante au sein même de la structure ;
Enfin, c’est souvent un premier virus qui va être utilisé pour en installer d’autres.
2.2.1.1 Vulnérabilités
L’exploitation d’une vulnérabilité connue ou testée est un mode habituel de
compromission des systèmes. L’utilisation de ce mode est facilitée par les plateformes
Web qui référencent et répertorient les failles découvertes et les serveurs vulnérables.
Ainsi le niveau de technicité requis pour effectuer une attaque apparaissant complexe
n’est pas nécessairement élevé.
Sur une période donnée, l’évolution du nombre des vulnérabilités, dans les systèmes
d’exploitation ou les logiciels, est toujours délicate à interpréter.
2.2.1.2 Ingénierie sociale
L’ingénierie sociale fait référence à des pratiques de manipulation psychologique à des fins
illicites. Ces pratiques exploitent les faiblesses psychologiques, sociales et plus largement
organisationnelles pour permettre, par une mise en confiance, d’obtenir quelque chose
de la personne ciblée (un bien, un service, un virement bancaire, un accès physique ou à
un système informatique, la divulgation d’informations…).
Cette technique est au cœur du procédé utilisé pour les fraudes aux faux ordres de
virement internationaux (cf. 2.2.3.2), dites « au président » ou « au changement de
coordonnées bancaires », dont sont victimes les entreprises.
La compromission d’un système d’information est fréquemment la conséquence d’attaques
préalables ciblées hameçonnage (spear phishing) réalisées grâce à l’ingénierie sociale. Les
environnements Microsoft professionnel (Microsoft 365) semblent particulièrement
recherchés pour permettre l’accès aux messageries et documents grâce aux possibilités
de modifier les droits d’accès et d’effectuer des recherches de documents ou mails précis.
Ces environnements Microsoft ne sont en effet pas toujours complètement maîtrisés par
les clients « entreprise ».
En 2018, il a pu être établi dans plusieurs dossiers que l’origine des compromissions, de
l’utilisation d’une messagerie et de l’extraction de données étaient la conséquence d’un
spear phishing réussi, lequel pouvait être bien antérieur à l’événement.
Typosquatting
Le typosquatting consiste à usurper le nom d’une marque ou d’une institution afin de se
faire passer pour elle et d’escroquer les victimes, par une modification de manière parfois
presque invisible, d’un caractère dans l’adresse du site internet de la marque (ou encore
un changement de domaine de premier niveau [TLD] comme. org au lieu de. com). La
fausse adresse renvoie vers une page Web qui copie la page d’accueil du site authentique
pour tromper les victimes et les amener à communiquer des informations sensibles (mot
de passe, coordonnées bancaires, etc.) utilisées ensuite par les escrocs au préjudice des
victimes.
> 45 <
Partie II - Usages et phénomènes constatés
> 46 <
Rançongiciels
L’année 2017 a été fortement marquée par des campagnes massives de rançongiciels de
type cryptlocker(65) à l’échelle mondiale. Si elles n’ont pas poursuivi leur forte croissance,
ces attaques persistent en 2018 avec un volume globalement constant de plaintes.
Ainsi 560 plaintes ont été enregistrées en 2018 par les services de police et de
gendarmerie. Cependant, ce chiffre reste bien en deçà de la réalité des attaques. La
majorité des entreprises victimes ne dépose pas plainte, ni même ne signale les faits aux
forces de l’ordre, généralement pour préserver leur image.
Les rançongiciels étant en développement constant, le classement des principales
souches évolue mensuellement(66) ; toutefois, pour l’année 2018, la souche « Dharma »,
déjà présente en 2017, demeure la plus identifiée, suivie des différentes versions de
« Gandcrab ». Dans un bon nombre de cas, la victime a été dans l’incapacité d’identifier
la souche l’ayant impactée. 5 % des victimes ayant déposé plainte auraient décidé malgré
tout de payer une rançon, en moyenne 5 000 euros(67).
17 % Dhama
32 %
Inconnu
4% Gandcrab
Scarab
4% Locky
5% Rapid
Autres (< 5)
9%
Analyse des 246 plaintes pour
rançongiciel traitées par la
30 % gendarmerie nationale.
(Source : C3N)
Figure 5 : Occurrence des cryptolockers
Les campagnes impactent en premier lieu les entreprises et les sociétés et dans une
moindre mesure les collectivités territoriales. En dépit des nombreuses enquêtes, la
typologie des auteurs reste difficile à établir. Ils semblent toutefois disposer de « solutions
prêtes à l’emploi », directement téléchargeables sur diverses plateformes de l’Internet,
indexées ou provenant du darknet. Dans certains cas, l’étude des organisations et serveurs
utilisés a permis d’établir des liens entre les équipes cybercriminelles agissant selon les
modes opératoires des rançongiciels et des malwares bancaires.
(65) Le logiciel malveillant chiffre les données, en vue d’extorquer des sommes d’argent en cryptomonnaie.
(66) L’étude des plaintes sur la période 2016-2018 a abouti à une catégorisation des rançongiciels en plus de 40 familles.
(67) L’extrême fluctuation du cours d’échange du Bitcoin, principale monnaie virtuelle utilisée dans ce type d’attaque, conduit à nuancer ce chiffre en
euros. La demande de rançon la plus élevée constatée est de 24 BTC. Cependant, la majorité des demandes de rançon oscille
entre 0,5 BTC et 3 BTC.
> 47 <
Partie II - Usages et phénomènes constatés
(68) Service des technologies et des systèmes d’information de la Sécurité intérieure, rattaché organiquement à la DGGN à Issy-les-Moulineaux.
> 48 <
Simples d’utilisation, ils ne nécessitent pas de connaissances pointues en informatique car
ils sont mis à la disposition des utilisateurs « clé en main ».
Le C3N a initié en août 2017 une enquête sur un site Internet faisant la promotion
d’un logiciel espion qui permettrait de découvrir l’orientation homosexuelle des
enfants. Le mis en cause interpellé aurait gagné par la vente de ce logiciel plus de
31 000 euros. 15 000 euros ont été saisis sur son compte bancaire. Environ 400
personnes physiques et morales avaient alors souscrit la prestation illicite. Il a été
requis contre l’auteur un an d’emprisonnement avec sursis et 30 000 euros d’amende.
Le 4 février 2019, il a été condamné à 8 mois d’emprisonnement avec sursis.
Le C3N a été saisi suite à deux attaques informatiques sur un serveur permettant
d’installer un logiciel de minage de cryptomonnaie Monero. Ce minage a été décelé
par l’hébergeur technique, qui a constaté une charge anormale du processeur (CPU)
de 100 % et a alerté l’administration d’État utilisatrice du serveur. L’enquête initiée
fin 2017 a permis de confirmer que deux botnets (réseaux de PC contaminés)
ont infecté plusieurs serveurs implantés sur le territoire national sans que les
responsables de la sécurité des systèmes d’information (SSI) de ces entités ne les
détectent. Les portefeuilles correspondant aux recettes des deux botnets et s’élevant
à 58 moneros ont été saisis en mars 2018. Ils seront attribués au service enquêteur
au titre de biens non réclamés.
> 49 <
Partie II - Usages et phénomènes constatés
Botnets
(69) L’Institut National de Recherche en Informatique et en Automatique est un institut national de recherche dédié au numérique employant 2400
collaborateurs issus des meilleures universités mondiales qui relèvent les défis des sciences informatiques et mathématiques. Il s’agit d’un
établissement public à caractère scientifique et technologique placé sous la tutelle des ministères de la Recherche et de l’industrie.
(70) Minergate est un programme utilisé pour « miner » de la cryptomonnaie (Bitcoin, Ethereum, Monero…) et la particularité de ce logiciel réside
dans sa simplicité, aucun paramètre n’est à définir.
(71) XMR correspond à la cryptomonnaie Monero.
(72) https://securelist.com/it-threat-evolution-q2-2018/87172/
> 50 <
ciblent davantage les banques américaines, russes et polonaises. Seulement 0,1 % des
attaques détectées au deuxième trimestre ont visé la France.
Le jackpotting : une nouvelle forme d’attaque des distributeurs de billets (DAB)
Le jackpotting consiste à utiliser un ordinateur portable connecté à une prise USB, soit
pour accéder aux données du calculateur d’un DAB fonctionnant sous Windows, soit
pour injecter un malware, dans le but de vider totalement ou partiellement ce dernier.
Apparu en 2012 aux États-Unis, le phénomène s’est étendu en 2015 en Europe, la France
ayant été touchée en décembre 2016.
Pour accéder au système de traitement du DAB, deux méthodes sont utilisées par les
malfaiteurs, quand l’agence est fermée :
> soit l’accès au système informatique du DAB, en ouvrant la face avant ou en y perçant
des trous pour y connecter un ordinateur muni d’un logiciel adapté et déclencher le
retrait de numéraires ;
> soit la prise de contrôle à distance d’une machine, voire d’un ensemble de machines
connectées entre elles, permettant la distribution d’espèces ou même le transfert
d’argent sur des comptes pirates.
Cybercrime as a Service
Les malwares clefs en main ont toujours attiré les « pseudo-pirates » informatiques.
Désormais, le modèle CaaS (Cybercrime as a Service) est un modèle de diffusion des outils
malveillants qui se démocratise. Il suffit désormais de payer un « prestataire » pour qu’il
active son réseau de machines infectées à votre profit.
> 51 <
Partie II - Usages et phénomènes constatés
qu’il a lui-même développés. L’objectif premier est, très régulièrement, d’exfiltrer les
données, en vue, in fine, de les exploiter en propre, les revendre ou déstabiliser leur
propriétaire initial.
> 52 <
Courant 2016, l’éditeur d’un service de cartes de paiement sans ouverture de
compte bancaire découvrait que plusieurs achats de Bitcoins avaient été réalisés
aux moyens de comptes clients artificiellement crédités suite à une attaque de
leur infrastructure informatique par injection SQL. L’entreprise victime déplorait
61 transactions frauduleuses, pour un préjudice de plus de 35 000 €. L’analyse des
flux de Bitcoins a permis d’identifier le bénéficiaire de l’ensemble des transactions
effectuées, utilisées pour partie aux fins d’acquisition de lingots d’or auprès d’une
société située aux Pays-Bas et pour une autre partie pour se faire délivrer des cartes
de paiement fonctionnant avec des comptes en Bitcoins (BTC to plastic) par une
société sise à Gibraltar.
Les attaques contre les serveurs DNS(73) sont réputées en croissance, ce que confirme
l’ICANN(74), dans son alerte de février 2019. L’ICANN met en garde contre des attaques
de grande ampleur, ciblant les infrastructures des systèmes de noms de domaine (DNS).
En effet, il a été observé un nombre croissant de rapports d’incidents concernant des
changements non autorisés sur des adresses Internet ou des remplacements d’adresses
serveurs légitimes par des adresses de machines contrôlées par des cyberattaquants.
En France, très peu d’attaques de ce type font l’objet de plaintes auprès des services
judiciaires.
Retour sur NotPetya
Le 27 juin 2017, la crise NotPetya touchait en premier lieu l’Ukraine, où le logiciel de
déclaration fiscale MeDoc a été infecté pour distribuer la charge active. Celle-ci chiffrait
les fichiers des machines infectées et surtout les rendait inopérantes par la suppression
des systèmes de lancement du PC. Au redémarrage, l’ordinateur était inutilisable ; il ne
s’agissait donc pas véritablement d’un rançongiciel. Ces évènements, d’une ampleur
majeure, ont provoqué la paralysie de nombreuses entreprises situées principalement
en Ukraine et au sein de l’UE par effet de bord, occasionnant ainsi un préjudice financier
colossal.
À cette occasion, la coopération internationale a pleinement joué et les canaux Europol
et Interpol ont été des outils de communication et des facteurs d’efficacité majeurs. Saisi
du dossier en France, le parquet de Paris (section F1) a rapidement sollicité le bureau
français d’Eurojust. En charge de l’enquête, l’OCLCTIC a établi ainsi des échanges avec
les enquêteurs des pays européens concernés. Cette affaire en cours est à ce jour la plus
vaste enquête judiciaire internationale jamais conduite.
(73) Le DNS (Domain Name System) est un service permettant d’établir une correspondance entre un nom de domaine et une adresse IP.
(74) Société pour l’attribution des noms de domaine et des numéros sur Internet - autorité de régulation de droit californien.
> 53 <
Partie II - Usages et phénomènes constatés
Figure 6
> 54 <
En septembre 2018, la BEFTI a diligenté une enquête d’initiative sur la publication
d’une annonce sur le site exploit.in, proposant à la vente un accès administrateur
illégitime à un site web de presse français. L’entreprise éditant le site interne de
cette société de presse était en situation de crise depuis deux jours ayant constaté
la redirection de ses utilisateurs mobiles vers un nom de domaine quasi similaire, à
une lettre près, et forgé selon la méthode du typosquatting.
Une fois sur ce site frauduleux l’internaute se voyait proposer une application
Android correspondant à un malware bancaire de type Anubis.
L’échange d’information a permis aux équipes de sécurité d’identifier sur leur système
d’information la présence d’un logiciel webshell d’accès avec privilège (programme
qui, une fois installé, donne à celui qui l’utilise un accès direct aux données présentes
sur le serveur) et ce depuis 2016.
L’exploitation des journaux d’activité a permis d’identifier l’extraction d’une base de
données de 2 millions d’utilisateurs comportant nom, prénom, adresse électronique
et parfois numéros de téléphone.
> 55 <
Partie II - Usages et phénomènes constatés
(76) Ces attaques informatiques ont eu un fort retentissement en Polynésie française. Le service Internet ayant été très perturbé par ces attaques, un
climat anxiogène était en train de naître sur cet archipel peu habitué à ce type d’action.
(77) L’attaque par « réflection » est une technique consistant à usurper une adresse IP, puis interroger des serveurs de diffusion répartis dans le
monde, sur lesquels existent des failles de sécurité. De fait, les serveurs répondent légitimement à cette IP, qui se trouve en l’espèce être une IP
de l’OPT, occasionnant une saturation des connexions.
(78) Équivalent des attaques en déni de service distribué sur les serveurs informatiques (DDoS).
> 56 <
2.2.2.4 Les défigurations
Après avoir connu un pic en janvier 2015 après les attentats ciblant la France avec 140
procédures engagées, le nombre de plaintes pour des faits de défiguration(79) est en forte
diminution.
Très peu de plaintes ont été déposées en 2018 auprès des services de police ; après six
procédures en 2017, 4 ont été enregistrées auprès de la BEFTI à Paris ou auprès des
services de gendarmerie.
Ces plaintes ne rendent pas compte de la totalité du phénomène.
En effet, en 2018, 412 cas de défigurations ont été recensés par l’ANSSI à partir de 276
tickets d’incidents enregistrés dans une base de son centre opérationnel SSI (contre 603
défigurations en 2017, soit -32 %). Ces tickets proviennent soit de signalements directs,
soit de leur veille internet (zone-H. org…) nécessitant des vérifications. La catégorisation
de ces tickets est la suivante :
> administration centrale : 84 (ministères, préfectures, académies, universités, lycées,
hôpitaux, services d’urgence, établissements publics…) – baisse de 31 % par rapport
à 2017 ;
> collectivités locales
: 150 (mairies, communautés de communes, associations
dépendantes d’une mairie, bibliothèques, ports de plaisance, chambres de commerce,
d’industrie ou d’agriculture, missions locales, réseaux de transports locaux, régions,
départements, musées locaux, conseils départementaux, offices de tourisme) – baisse
de 48 % par rapport à 2017 ;
> opérateurs d’importance vitale (OIV) : 7 ;
> entreprises : 4 ;
> autres / Non catégorisés : 31 (associations d’intérêt public, pompiers, écoles non
publiques, unions professionnelles).
Leur répartition dans le temps est la suivante (par trimestre) :
200
178
180
160
120
111 117
120
100
Nombre
100
69
80
69 50 40
60
40
20
0
T1 2017 T2 2017 T3 2017 T4 2017 T1 2018 T2 2018 T3 2018 T4 2018
Années 2017-2018
Figure 8 : Défigurations recensées en 2017 et 2018 par l’ANSSI
NB : Le pic de défigurations du 1er trimestre 2017 est dû à une vulnérabilité WordPress / Joomla et
celui de 2e trimestre 2018 à une même attaque sur 42 sites de mairies hébergés sur une même IP.
(79) La défiguration (ou défaçage) est l’altération visuelle de l’apparence d’un site Internet non voulue par son éditeur. Elle est le signe visible qu‘un
site web a été attaqué et que le ou les attaquants en ont obtenu les droits, leur permettant ainsi d’en modifier le contenu.
> 57 <
Partie II - Usages et phénomènes constatés
Le 10 avril 2018, le clip musical « Despacito » de Luis Fonsi, qui avait dépassé plus
de 5 milliards de vues sur la chaîne Youtube, a été défiguré sur le site de la société
américaine Vévo, partenaire de Youtube. Dans un premier temps, le titre du clip et
de la vignette de présentation ont été modifiés, puis le clip supprimé. Une centaine
d’autres titres de cette même chaîne Youtube ont été défigurés. Les faits ont été
revendiqués sous des pseudonymes de hackers connus. L’enquête diligentée par la
BEFTI a permis d’identifier les auteurs et d’établir que ces faits ont été consécutifs
à l’achat sur Internet par ces derniers d’un couple d’identifiant/mot de passe
correspondant à celui d’un administrateur système qui leur a permis de récupérer le
code source du site internet de la société victime. Ayant reconnu les faits, les auteurs
ont été déférés au Parquet. L’un a été jugé irresponsable et le second condamné à
une peine de travaux d’intérêt général. L’action civile suit son cours.
(80) Le Phreaking est un phénomène né dans les années 1960 aux États-Unis. A l’origine destiné à passer des communications aux frais de la
victime, le phreaking est désormais également utilisé pour générer des revenus délictuels.
(81) Private automatic Branch Exchange (PABX) ou Internet private Branch Exchange (IPBX).
> 58 <
La participation de la BEFTI à un groupe de travail au sein d’Europol EC3 sur la fraude aux
numéros internationaux surtaxés a permis d’identifier de nouveaux axes d’investigation
qui ont été mis à profit en 2018.
Dans le second procédé (spoofing), les victimes pensent s’adresser à leur banque,
leur fournisseur d’énergie ou encore leur assurance, mais se retrouvent en réalité
en conversation avec l’escroc qui a usurpé le numéro de la ligne téléphonique du
professionnel. Ce dernier obtient ainsi des informations confidentielles ou demande que
lui soient effectués des virements pour alimenter un compte ouvert à son nom.
Swatting et appels malveillants
Tirant son nom des unités d’intervention d’élite de la police américaine - Special Weapons
andTactics (SWAT) -, le swatting est un appel visant à provoquer indûment une intervention
des forces de l’ordre ou des secours. Ce type de « canular » est généralement perpétré
par des adolescents ou de jeunes adultes.
> 59 <
Partie II - Usages et phénomènes constatés
Un appel en ligne aux dons en cryptomonnaie a été détecté, le 27 juin 2018, sur un site
sympathisant de l’organisation EI mettant à disposition une grande quantité de contenus
numériques de l’organisation. Toutefois, ce procédé ne semble pas s’être développé.
La mouvance Al-Qaïda dispose toujours de nombreux organes de diffusions officiels
qui représentent les différentes entités de l’organisation (AQMI (JNIM), AQPA, AQSI et
Al-Shebbaab notamment). Cette diversité se traduit par l’activité d’organes multiples, tels
que le G.I.M.F, Sahab Média,Al Malahem et Al Fustaat, ainsi que via des organes concentrés
sur les missions de traduction. Ces entités utilisent Telegram comme vecteur de publicité
et de stockage des parutions.
En 2018,AQMI a notamment diffusé plusieurs communiqués relatifs à la situation d’otages,
parmi lesquels Sophie Petronin, humanitaire enlevée au Mali en 2016 et dernier otage
français retenu dans le monde.
La production d’infographies de menaces, émanant de sympathisants du groupe terroriste,
en rapport avec les fêtes religieuses, les évènements de société (gilets jaunes) et sportifs
(coupe du monde), demeure par ailleurs régulière. Le ralentissement de la propagande
de l’organisation terroriste est lié à la réactivité croissante des grands réseaux sociaux
(notamment Twitter), utilisés pour faire la publicité des contenus, qui neutralisent les
comptes signalés.
En 2018, la plateforme PHAROS a transmis 12 100 demandes de retrait pour des contenus
à caractère terroriste (contre 30 634 en 2017), 4 877 demandes de déréférencement et
51 demandes de blocage.
Par ailleurs, depuis le 28 février 2018, la plateforme PHAROS dispose d’un nouveau relais
au niveau européen, via une connexion avec l’application IRMa(82) d’Europol. Les échanges
de données reposent sur la transmission d’une liste d’adresses URL de contenus
terroristes éligibles à une mesure de retrait. Au 31 décembre 2018, la plateforme
PHAROS a intégré 69 937 contenus à caractère terroriste dans l’application européenne.
2.2.3.2 Les escroqueries
Les modes opératoires, parfaitement maîtrisés par les malfaiteurs, sont adaptés aux
évolutions de la société et aux faits d’actualité. Les cybercriminels utilisent désormais
systématiquement les outils d’anonymisation (VPN, Proxy, réseau Tor, téléphones équipés
d’application de cryptage, applications de type WhatsApp, utilisation de numéros virtuels
de type ONOFF…) et, de plus en plus, des systèmes de blanchiment d’argent recourant
à des cryptomonnaies ou des plateformes de paiement dématérialisées.
En 2018, trois principaux types d’escroqueries massives ont impacté le territoire national
portant le préjudice à plus d’un milliard d’euros. Les escroqueries aux faux ordres de
virements internationaux sont une nouvelle fois en baisse. Les escroqueries aux faux
investissements sur le FOREX (foreign exchange) se poursuivent. Alors que l’année
précédente avait été marquée par une recrudescence des propositions frauduleuses
d’investissements dans le diamant, en 2018 se sont développées des escroqueries liées à
des placements indexés sur les cryptomonnaies. De nombreuses victimes restent en effet
sensibles à une promesse de gain rapide, au rythme de l’évolution des cours des taux de
change des monnaies virtuelles.
Enfin, l’année 2018 a aussi vu l’essor des escroqueries aux faux supports techniques et a
également été marquée par la permanence des formes classiques d’escroqueries en ligne :
escroqueries au préjudice des e-commerçants, escroqueries à la romance, chantages à la
webcam, fausses annonces…
(82) Internet Referral Management application de l’unité de référencement Internet d’Europol (EU IRU).
> 60 <
Escroqueries aux faux ordres de virements internationaux (FOVI)
Depuis 2010, avec une accentuation entre la fin 2013 et fin 2014, la France est confrontée
à un phénomène d’escroqueries d’envergure au préjudice d’entreprises françaises, de
filiales françaises d’entreprises étrangères, de collectivités ou établissements publics et
de fortunes françaises.
L’escroquerie aux FOVI consiste à tromper intentionnellement une personne, physique
ou morale, en recourant à des moyens frauduleux (notamment l’usage d’un faux nom
ou d’une fausse qualité, une mise en scène destinée à corroborer le mensonge…), pour
obtenir la remise volontaire de fonds par virement bancaire. Ce phénomène criminel se
situe au sommet de la délinquance astucieuse. Les auteurs conçoivent une multitude de
stratagèmes pour réaliser leur projet criminel en toute sécurité (cf. rapport état de la
menace lié au numérique en 2018).
Les faits de FOVI sont, encore cette année, en net recul en France tant au niveau du
nombre qu’en termes de montants, comme le montrent les histogrammes ci-dessous.
500
476
450
407
400
364
336
350
326 317
Nombre de ca s
300
266 288
250
200 214
200
145
140
150
124
89104
100
30 37
50
17
0
2010 2011 2012 2013 2014 2015 2016 2017 2018
Années
F aits commis F aits tentés
250 239
226
Millions d'€
180
200
171
137 150
150
126 126
96
100
61
48 51 40
50 35
11 13 12
0
2010 2011 2012 2013 2014 2015 2016 2017 2018
Années
Commis Tentés
> 61 <
Partie II - Usages et phénomènes constatés
> 62 <
même. En août 2016, la Belgique est devenue le premier pays européen à prohiber ces
placements financiers. Enfin, depuis le 2 juillet 2018 pour les options binaires et le 1er août
2018 pour les contrats sur la différence, l’autorité européenne des marchés financiers a
interdit, par périodes de trois mois renouvelables, leur commercialisation et distribution
aux particuliers. Les groupes criminels, surfant toujours sur l’actualité, ont diversifié leurs
supports frauduleux à l’automne 2017. Ils ont ainsi recyclé les plateformes créées pour le
FOREX et procédé à un démarchage agressif en matière d’investissement dans le diamant
et dans les crypto-actifs.
Escroqueries aux placements indexés sur les cryptomonnaies
Le mode opératoire apparaît identique à celui de l’escroquerie à l’investissement dans
le diamant, phénomène ayant perduré en France entre 2015 et 2017, au préjudice de
milliers de victimes, pour un montant total de plus de 35 millions d’euros (cf. rapport
2018 - état de la menace pour l’année 2017).
Dans le cas de la fraude à l’investissement dans la cryptomonnaie, développée par des
groupes criminels organisés franco-israéliens, les futures victimes sont approchées par
des publicités sur Internet ou des campagnes d’e-mailing, les amenant sur des sites
présentant des achats de cryptomonnaie comme un investissement “sûr”, “très rentable”,
avec un accompagnement par des analystes marchés et stratégiques.
Le battage médiatique qui a accompagné les valeurs records du Bitcoin fin 2017 et début
2018 a créé un attrait autour de cette monnaie, que les escrocs ont largement su exploiter.
Face à la chute progressive du Bitcoin, les victimes ont réagi en voulant récupérer leur
investissement. L’étude des plaintes recueillies par la gendarmerie pour les escroqueries
aux faux investissements en cryptomonnaie montre en effet une corrélation avec cette
forte hausse du Bitcoin :
Figure 11 : Évolution du cours du Bitcoin de 2013 Figure 12 : Évolution du nombre de plaintes recueillies
à 2019. Source : https://www.coingecko.com/fr/ en gendarmerie pour des escroqueries aux faux
graphiques_cours/bitcoin/eur investissements en cryptomonnaies.
> 63 <
Partie II - Usages et phénomènes constatés
Toutes les sociétés d’investissement dans la cryptomonnaie, visées par les enquêtes, sont
domiciliées dans des pays d’Europe de l’Est, avec généralement un siège social secondaire
fictif en région parisienne. L’activité de la société, son site Internet et les call-centers sont
gérés depuis Israël.
En France, l’activité d’intermédiation consistant à recevoir des fonds de l’acheteur de
cryptomonnaie pour les transférer au vendeur de cryptomonnaie relève d’un agrément
de prestataire de paiement délivré par l’Autorité de contrôle prudentiel de résolution
(APCR). Bien évidemment, toutes les plateformes visées par les enquêtes judiciaires ne
disposent pas de cette qualité afin d’exercer leur activité sur le territoire national.
Fin 2017, des faits d’escroqueries en bande organisée portant sur de faux
investissements en cryptomonnaie, au préjudice de plus de 57 victimes en France et
dans l’UE, ont été rapprochés (préjudice de 5 millions d’euros).
Les investigations conduites par les sections de recherche de Strasbourg et Metz
révèlent l’ampleur du phénomène et la complexité de l’organisation criminelle
transnationale. Plus d’une trentaine de comptes bancaires liés à 20 entreprises ont
été identifiés ainsi que le circuit de blanchiment.
Interpellés en janvier 2019, les quatre escrocs ont été mis en examen : trois écroués
et un placé sous contrôle judiciaire. 1 025 000 € ont été saisis au titre des avoirs
criminels.
Depuis un an, pour les faits dont l’OCRGDF a connaissance, le préjudice global s’élève
à ce jour à plus de 35 millions d’euros, représentant plusieurs centaines de plaintes
enregistrées sur l’ensemble du territoire.
La prévention apparaît encore comme le meilleur rempart face à ce type d’escroqueries
opérées depuis l’étranger. L’AMF réalise d’importantes campagnes d’information et de
sensibilisation du public et a également publié une liste noire des sites proposant ce type
d’investissement.
Escroqueries aux faux supports techniques
L’escroquerie aux faux supports techniques consiste à perturber la victime par l’affichage
intempestif de fenêtres indiquant la présence d’un virus sur l’ordinateur ou faisant état
d’un problème grave touchant le système d’exploitation, afin de la pousser à contacter
un prétendu support technique pour le dépannage de son matériel informatique. Le but
recherché est d’extorquer de l’argent à la victime pour ce dépannage fictif. Une fois
l’intervention terminée, la victime est invitée à régler le prétendu dépannage par virement
ou par carte bancaire. En cas de refus, le technicien peut la menacer de rendre son
système inutilisable. Connu initialement sous la dénomination Compufly, ce phénomène
s’est démultiplié sous d’autres appellations Easy support, Eureka, « meilleurordinateur.
com » tout au long de l’année 2017 avec une campagne d’escroquerie particulièrement
active en novembre 2017.
> 64 <
Figure 13 : Écran d’un ordinateur ciblé par une escroquerie aux faux supports techniques
Les rapprochements menés par le C3N ont permis de répertorier sur l’année 2017, 211
faits déclarés en gendarmerie. Sur la région parisienne, la BEFTI a enregistré 36 plaintes.
Les échanges avec le GIP ACYMA ont permis de faire le lien entre plusieurs appellations
de sociétés utilisant le même mode opératoire. Au regard de la multiplication des faits et
des préjudices individuels minimes, la section F1 « cybercriminalité » du parquet de Paris
a centralisé les procédures.
La BEFTI a été chargée de la première enquête selon ce mode opératoire visant les
supports Compufly et Easy support. L’enquête se poursuit sur commission rogatoire
et des demandes d’entraide pénale ont été lancées.
> 65 <
Partie II - Usages et phénomènes constatés
Escroqueries au RGPD
Une vague d’escroqueries au RGPD est apparue après son entrée en vigueur le 25 mai
2018. Le mode opératoire est le suivant : l’auteur prend contact avec la victime et l’informe
de la non-conformité de son entreprise au RGPD. L’escroc persuade la victime d’investir
dans un faux service de mise en conformité via une plateforme Internet ou téléphonique
qui se chargera de récupérer ses données bancaires. Les préjudices constatés varient
entre 500 € et 1 500 € par escroquerie.
En juin 2018, la CNIL a diffusé sur son site Internet une alerte sur cette escroquerie
qu’elle a réitérée en novembre avec des exemples de courrier « fausse mise en
conformité RGPD ». La gendarmerie a également réalisé un certain nombre d’actions de
communication sur cette escroquerie par l’entremise des référents sûretés.
> 66 <
Figure 14 : Notice de vigilance de la CNIL
> 67 <
Partie II - Usages et phénomènes constatés
Autres escroqueries
> 68 <
L’OCLCTIC entretient une coopération avec la Plateforme de Lutte Contre la
Cybercriminalité de la police ivoirienne qui peut fournir des informations intéressantes
concernant les profils des criminels. Ces derniers ne semblent pas évoluer dans des réseaux
organisés, mais se transmettent plutôt leur « savoir-faire » de manière informelle. Les
individus commettent leurs délits sur des smartphones, à domicile ou sur la voie publique,
durant leur période d’inactivité professionnelle. Les gains illicites sont immédiatement
dépensés. Les enquêtes se heurtent aux difficultés locales d’investigation, notamment
en termes de possibilités d’identification de numéro de téléphone ou d’adresse IP. Pour
autant, tous les signalements transmis par la France sont systématiquement exploités par
les policiers ivoiriens et a minima intégrés dans leur base de données, afin d’initier des
enquêtes judiciaires.
« Sextorsion » – chantage à la webcam prétendument piratée
En septembre 2018, la gendarmerie s’est intéressée à la diffusion massive d’un e-mail
indiquant la récupération de vidéos intimes suite au piratage de l’ordinateur de la victime
(Web Cam) et sa navigation sur des sites pornographiques. L’auteur exigeait un paiement
en Bitcoin sous peine de diffuser les vidéos qu’il disait avoir récupérées par un logiciel de
prise de contrôle à distance (RAT). Les données personnelles éventuellement alléguées
avaient en réalité été obtenues sur Internet et non par l’utilisation d’un RAT.
Le but recherché est ici d’extorquer de l’argent aux victimes en échange de leur silence.
Il s’agit d’une escroquerie de type ingénierie sociale, destinée à exploiter les faiblesses
psychologiques, sociales et organisationnelles. En réalité, l’auteur ne détient aucune
vidéo de la victime. Il agit sur le ressort psychologique en faisant mention de données
personnelles, ce qui donne de la crédibilité à son mail et à son chantage.
Depuis janvier 2019, le site cybermalveillance.gouv.fr a constaté une forte recrudescence
de ces campagnes d’arnaques. Pour sensibiliser le public, une fiche d’information et de
conseil a été diffusée sur le site(85).
Le mode opératoire a évolué au fil du temps, avec en particulier des menaces sur l’intégrité
physique de la victime. Les escrocs comptent sur le volume de pourriels envoyés et la
crédulité de leurs destinataires, pour rentabiliser leur campagne.
(85) https://www.cybermalveillance.gouv.fr/nos-articles/chantage-a-la-webcam-pretendue-piratee/
> 69 <
Partie II - Usages et phénomènes constatés
(86) Données issues du rapport 2018 de l’Observatoire sur la sécurité des moyens de paiement (OSMP).
> 70 <
Ces outils de prévention de la fraude font aujourd’hui partie des exigences en matière de
sécurité inscrites dans la 2e directive européenne sur les services de paiement (DSP2), en
application depuis janvier 2018 dans l’ensemble de l’UE.
Pour l’année 2018, 53 703 plaintes pour fraude à la carte bancaire(87) ont été traitées
par les services de police ; ce chiffre est relativement stable par rapport à 2017 (53 840
faits recensés). Paris demeure le premier département où ces faits sont portés à la
connaissance des forces de sécurité (25 %), suivi du Rhône (5 %) et des Bouches-du-
Rhône (4 %). Le taux d’élucidation reste faible (5 %).
Les modes opératoires
Considérée comme l’une des priorités européennes de la lutte contre la cybercriminalité,
la captation des données bancaires demeure un fait criminel fortement présent sur le
territoire national. Les modes opératoires concernent désormais tous les types de
distributeurs automatiques (distributeurs de billets, bornes de distribution d’essence,
automates d’autoroute, dispositifs de règlement de parking…), sur lesquels skimmers(88)
et shimmers(89) continuent d’être installés. Les terminaux de paiement portatifs peuvent
être également compromis ou complètement détournés de leurs finalités. Ces captations
de données sont notamment le fait de nombreux groupes criminels d’Europe centrale ou
balkanique, lesquels sévissent lors de raids traversant les régions françaises. Les données
sont ensuite revendues sur des sites Internet classiques, sur le darknet ou au travers
d’applications téléphoniques. Leur ré-encodage sur des cartes à piste magnétique permet
notamment des fraudes dans des pays d’Amérique ou d’Asie du Sud-Est ne possédant pas
les mêmes standards de sécurité que la France.
En 2018, les attaques de distributeurs bancaires par la technique dite du
« jackpotting »(90) se sont diversifiées et intensifiées. Si le mode opératoire consistant à
percer les façades des automates afin d’y connecter un ordinateur semble avoir disparu,
deux variantes s’imposent désormais : une première, non destructrice, consiste en la
désolidarisation de la façade du distributeur de billets de son socle afin de permettre
un accès direct aux connectiques ; une seconde s’effectue par le retrait pur et simple
de l’écran de l’automate pour accéder aux branchements du serveur gérant les
caissettes d’argent. Pour l’année 2018, les attaques ont principalement eu lieu en région
parisienne, dans l’Est de la France ainsi qu’en région lyonnaise pour un préjudice global de
420 000 euros (le préjudice de chaque attaque peut varier entre 12 000 et 150 000 euros
selon le dispositif attaqué). Il ressort des différentes interpellations que les auteurs sont
principalement issus d’Europe de l’Est.
(87) Ces chiffres sont extraits du fichier TAJ (traitement des antécédents judiciaires) et regroupent les qualifications d’utilisation frauduleuse de
carte bancaire, d’utilisation frauduleuse d’un moyen de paiement en France et captation des données en France ou à l’étranger ou en un
lieu indéterminé, d’utilisation frauduleuse d’un moyen de paiement à l’étranger et captation des données en France, d’utilisation frauduleuse
du numéro de carte bancaire, utilisation frauduleuse numéro carte bancaire (compte français et captation de données en France ou en lieu
indéterminé) et falsification contrefaçon de carte de paiement ou de retrait.
(88) Matériel se glissant dans la bouche/fente d’un automate, tout en laissant de l’espace pour qu’une carte bancaire puisse y être glissée
naturellement. Une copie des données de la piste magnétique sera alors réalisée par le matériel sans que cela n’ait une quelconque implication
sur le bon fonctionnement de la carte bancaire.
(89) Le shimmer est un matériel similaire au skimmer dans son intégration dans un automate mais qui intercepte les données de la puce de la carte
bancaire, dont son code confidentiel.
(90) Connexion d’un ordinateur portable soit pour accéder aux données du calculateur du DAB, soit pour injecter un malware visant à vider
totalement ce dernier, à l’instar des célèbres machines à sous des casinos.
> 71 <
Partie II - Usages et phénomènes constatés
(en unités)
1 200
1 109
1 028 1 048
1 000
800
640
545
600
500
416
400
103 301
200
60 75 74
35 18 63
60 85 17
0
2012 2013 2014 2015 2016 2017
> 72 <
En mai 2018, les enquêteurs de la DIPJ de Lille mettaient au jour les activités d’un
groupe organisé originaire de Côte d’Ivoire et du Maroc, spécialisé dans l’usurpation
de numéros de cartes bancaires aux fins d’escroquerie dans la vente à distance.
Le mode opératoire consistait en la récupération de numéros de cartes bancaires
(par hameçonnage des victimes ou suite à des achats sur le darknet), ainsi que des
identifiants de connexion aux box Internet des victimes, afin de programmer un
renvoi vers les escrocs des appels des banques en vue de confirmation des achats.
Les produits technologiques achetés frauduleusement étaient ensuite récupérés en
France ou en Italie. Les produits immatériels (mandats Western Union et cartes
TransCash) étaient saisis au Maroc.
Europol coordonne un certain nombre d’actions ciblées permettant de lutter contre les
usages frauduleux de numéros de cartes bancaires volées ou piratées.
> 73 <
Partie II - Usages et phénomènes constatés
> 74 <
En juillet 2018, le C3N a interpellé dans les Hauts-de-France l’administrateur du site
Wolfshop sur le darkweb, proposant à la vente plus de 550 000 identifiants (adresse
mail, pseudo, mot de passe) de comptes de messagerie, de comptes clients sur les
plateformes de grande distribution en ligne ou encore de cartes bancaires. D’autres
services étaient également proposés sur le site comme du mail bombing ou encore
une liste de vulnérabilités informatiques de grands sites commerçants. Ce « black
market » qui comptait 2 800 utilisateurs est aujourd’hui fermé.
> 75 <
Partie II - Usages et phénomènes constatés
Ce « challenge » vient des pays d’Amérique latine, où dans une affaire de suicide
d’une fillette de 12 ans en Argentine, la police aurait initialement fait le lien entre
une conversation WhatsApp de la victime et son passage à l’acte. Cette affaire a été
relayée par la presse locale puis la presse internationale qui l’a rapprochée du « Blue
Whale challenge »(93). En France, dans les quelques affaires où ce « challenge » pouvait
apparaitre, les forces de sécurité ont constaté qu’il s’agissait avant tout d’adolescents qui
ont eu des comportements malveillants envers d’autres. Plusieurs comptes de réseaux
sociaux ont été désactivés. Les unités territoriales ont été avisées du phénomène et des
contacts ont été engagés avec des associations de protection de l’enfance (e-enfance…).
(92) « Momo » est le pseudonyme d’un individu qui se cache derrière la photographie d’une « femme oiseau » sculptée par un artiste japonais (La
« Mother Bird » de Midori HAYASHI, exposée à la Vanilla Gallery de TOKYO depuis 2016), connu pour ses créations chimériques et horrifiques.
Apparue sur Instagram en août 2016 sur le compte d’HAYASHI, la photographie servait d’avatar au profil WhatsApp de « Momo ».
(93) Le « Blue Whale Challenge » avait causé en 2016 plusieurs dizaines de suicides en Russie. Il était apparu en France fin 2016.
> 76 <
Le cyberharcèlement
S’il touche aussi les adultes (ex. : ligue du LOL), le cyberharcèlement est particulièrement
le fait des mineurs entre eux, participant à l’ensemble des violences dans le cadre du
milieu scolaire. Un certain nombre de structures sont dédiées à cette problématique,
notamment Net Ecoute (0800 200 000) et le ministère de l’Éducation nationale a ouvert
un site « Agir Contre le Harcèlement ».
Dans un contexte d’utilisation quotidienne des réseaux sociaux, le cyber-harcèlement et
ses variantes peuvent avoir des conséquences irrémédiables.
La gendarmerie sensibilise les jeunes sur ces risques via des interventions dans les
collèges et le C3N innove par la réalisation d’une vidéo Youtube(94) réalisée et diffusée
par un YouTuber populaire.
Les services sont particulièrement attentifs à l’utilisation des réseaux sociaux par les
mineurs et réagissent au plus vite sur des signalements laissant suggérer un risque
d’atteinte à l’intégrité physique d’un mineur.
Le 8 janvier 2018, une personne signalait à la gendarmerie une vidéo sur Periscope
mettant en scène une adolescente annonçant vouloir se suicider le jour même du
toit de son lycée. Rapidement, le C3N a identifié le lycée et l’identité du mineur. Les
forces de l’ordre ont pu se rendre au domicile, découvrir la mineure saine et sauve
et informer sa famille.
> 77 <
Partie II - Usages et phénomènes constatés
> 78 <
Malgré l’action des services répressifs et l’utilisation de techniques spécifiques telles que
l’enquête sous pseudonyme, qui amènent à la fermeture de ces forums après identification
et interpellation de leurs administrateurs, modérateurs et utilisateurs, il est toujours
constaté que d’autres sites sont recréés rapidement.
Les outils d’anonymisation (VPN, proxys.) et les logiciels de cryptage sont par ailleurs
toujours très utilisés. De même, les applications de communication mobiles (WhatsApp,
Snapchat, Viber, Instagram) sont aussi un moyen pour ces délinquants d’échanger de
manière sécurisée et chiffrée du matériel pédopornographique ou de se livrer à la
corruption de mineurs.
Les réseaux sociaux, les sites/forums destinés aux adolescents et les réseaux de jeux en
ligne servent également de supports aux prédateurs sexuels pour entrer en contact avec
des victimes potentielles. Ce phénomène dit du « grooming » est toujours très prégnant.
> 79 <
Partie II - Usages et phénomènes constatés
(96) « Les manipulations de l’information, un défi pour nos démocraties », rapport du Centre d’analyse, de prévision et de stratégie (CAPS, ministère
de l’Europe et des Affaires étrangères) et de l’Institut de recherche stratégique de l’École militaire (IRSEM, ministère des Armées).
> 80 <
(Google, Facebook, Twitter) pour lutter contre la désinformation. Par exemple, les
plateformes en ligne doivent augmenter la transparence de la publicité à caractère
politique, proposer des formations aux groupes politiques et aux autorités électorales et
intensifier leur coopération avec les vérificateurs de faits (fact-checker). La Commission
a par ailleurs présenté le 5 décembre 2018 un plan d’action contre la désinformation.
La méthode « astroturfing »
L’astroturfing est une méthode de manipulation des tendances sur les réseaux sociaux à
travers plusieurs vecteurs visant à créer artificiellement un sentiment de mobilisation
populaire.
Cette technique repose principalement sur la manipulation du comportement de relais
d’opinions. Pour ce faire, plusieurs faux comptes (qu’il s’agisse d’un réseau de bots,
de multiples faux comptes, ou de militants) interpellent sur les réseaux sociaux des
journalistes ou leaders d’opinion afin, en s’appuyant sur des biais cognitifs (il s’agit, ici,
de faire croire à une personne qu’une information est validée car largement partagée
par son environnement), de les pousser à relayer leur message. Une fois le mouvement
amorcé par les premiers partages de la fausse information, des influenceurs donnent un
« verni de réalité » aux publications. La fausse information/opinion est ensuite relayée
par ses abonnés, afin de faire accroire un mouvement populaire spontané. L’information
sera reprise par les médias (soit pour démentir ou pour retransmettre), une fois qu’une
certaine résonance aura été atteinte, marquant la réussite de la campagne d’astroturfing
(l’objectif étant de diffuser le plus largement une opinion ou fausse information).
Incitations à l’émeute et appels à la violence
Sur les réseaux sociaux, des incitations à l’émeute et des appels à la violence
contre les personnes et les biens ont été lancés en octobre 2018 dans le cadre
du mouvement de « la purge ». Un individu a été interpellé par la sûreté
départementale du Rhône (69) pour avoir relayé, après l’avoir modifiée, la vidéo
Snapchat #LaPurge en l’adaptant au contexte lyonnais. Il a été écroué à l’issue de sa
garde à vue.
L’auteur d’un post sur le réseau social Twitter et revendiquant d’être à l’origine de la
vidéo Snapchat a également été interpellé par la sûreté départementale de la DDSP
de l’Isère (38).
> 81 <
Partie II - Usages et phénomènes constatés
(97) Cf. Rapport sur la cybercriminalité, du groupe de travail interministériel présidé par le Procureur général Marc Robert,
février 2014 - pages 10 à 19.
> 82 <
> de très nombreuses infractions de droit commun commises avec une dimension de
cybercriminalité dans le mode opératoire ou le moyen ayant permis d’approcher la
victime : recel, fraude, escroqueries…
Les fonctionnaires de police et les militaires de la Gendarmerie nationale reçoivent les
plaintes des victimes d’infractions cyber en application de l’article 15-3 du Code de
procédure pénale. Ces plaintes font l’objet d’un enregistrement statistique qui permet
de produire les statistiques de la délinquance, c’est-à-dire, sous leur forme actuelle, l’état
4001 des faits qualifiés de crimes et délits, état qui n’est pas conçu pour mesurer la
cybercriminalité.
Cet enregistrement, traditionnellement effectué en application d’un guide de méthodologie
statistique commun aux deux forces de sécurité intérieure, se modernise dans le cadre
de la mise en œuvre d’un nouvel environnement informatique, notamment structuré
autour de logiciels de rédaction des procédures (LRP) déployés dans la Gendarmerie
nationale (LRPGN) et dans la Police nationale (SCRIBE).
Depuis fin 2015, le service statistique ministériel de la sécurité intérieure (SSMSI)
a élaboré, conjointement avec les directions et leurs services spécialisés, des agrégats
regroupant les catégories d’infractions liées à la cybercriminalité. Il a été choisi de
distinguer les infractions ciblant les systèmes et les infractions commises via les systèmes.
Ce travail permettra de fiabiliser et de stabiliser enfin la statistique.
Diminution du nombre d’atteintes aux systèmes de traitement automatisé de
données (STAD) déclarées en 2018 (SSMSI)
Le suivi des infractions d’atteintes aux systèmes de traitement automatisé de données
a été amélioré en 2018(98), il permet d’en identifier davantage. Les tendances constatées
restent inchangées.
Au cours de l’année 2018, la police et la gendarmerie ont enregistré 9 970 infractions
d’atteintes aux S.T.A.D., soit une moyenne de 830 infractions par mois. Ce niveau se situe
en baisse par rapport à 2017 (-6,6 %) et à 2016 (-9,8 %). Il convient de mentionner que
cette tendance statistique est difficilement interprétable en raison d’un faible taux de
plaintes pour ce phénomène.
(98) Suite à des travaux exploratoires, il est apparu que de nombreuses infractions échappaient au traitement, notamment en GN.
Les données corrigées 2016/2017/2018 sont différentes en niveau, mais pas en tendance.
> 83 <
Partie II - Usages et phénomènes constatés
12000 11051
10674
9970
10000
8000
6000
4000
2000
Total général 11 051 100 % 10 674 - 3 % 100 % 9 970 - 7 % 100 %
Figure 19 : Atteintes aux S.T.A.D. – Nombre et part d’infractions par catégorie
Source : SSMSI- Base des crimes et délits enregistrés par la police et la gendarmerie.
Champ : France – PN : dates d’ouverture GN : date de première validation BDRIJ
NB : Suite à des travaux exploratoires, il est apparu que de nombreuses infractions échappaient au traitement, notamment en GN. Les données corrigées 2016/2017/2018
sont différentes en niveau mais pas en tendance.
> 84 <
Pour en savoir plus :
INSEE –INHESJ/ONDRP – SSMSI Rapport d’enquête cadre de vie et sécurité Décembre
2018, https://www.interieur.gouv.fr/Interstats/Actualites/Rapport-d-enquete-cadre-de-
vie-et-securite-2018
INSEE – « Sécurité numérique et médias sociaux dans les entreprises en 2015 » Insee Première – N°1594,paru le 10/05/2016
https://www.insee.fr/fr/statistiques/2121545
400
300
200
82
100
24
0
2016 2017 2018
(99) Ces statistiques correspondent aux infractions enregistrées par les forces de l’ordre. Les évolutions constatées doivent être interprétées avec
précaution. En effet, elles peuvent ne pas correspondre à l’évolution de la cyberdélinquance réelle mais à une modification du processus
déclaratif des victimes (variation du taux de plainte) ou encore à un changement des pratiques de classement des infractions par les forces de
l’ordre.
> 85 <
Partie II - Usages et phénomènes constatés
500
531
400
300
319
200
100
0
2016 2017 2018
Figure 21 : Harcèlements au moyen d’un service de communication en ligne
Sources : SSMSI - Base des crimes et délits enregistrés par la police et la
gendarmerie
1000 966
881 888
800
600
400
200
0
2016 2017 2018
corruption de mineur propositions sexuelles à un mineur de 15 ans,
suivies d’une rencontre
atteintes sexuelles propositions sexuelles à un mineur de 15 ans
sur mineur de 15 ans
(100) par des propos ou comportements répétés ayant pour objet ou effet une dégradation des conditions de vie altérant la santé d’une personne.
> 86 <
Même si ces infractions baissent en 2018, elles restent d’un niveau élevé. Elles sont
matérialisées pour la plupart, par l’action des services opérationnels, qui mettent en
œuvre des techniques d’enquêtes sous pseudonyme sur les réseaux (cf. § 1.3).
Infractions à la loi « Informatique et Libertés » : Évolution sur 3 ans (2016-2018)
Ces infractions présentent un caractère générique ; si elles ne peuvent pas toutes être
considérées comme relevant de la cybercriminalité, elles sont avant tout relatives à des
traitements de données numériques.
Le nombre d’infractions à la loi Informatique et Libertés, stable en 2016 et 2017, est en
hausse en 2018 (+14 %), année de l’entrée en vigueur du RGPD.
1500
1450
1435
1400
1350
1300
1250
1256
1225
1200
1150
1100
2016 2017 2018
> 87 <
Partie II - Usages et phénomènes constatés
1 %
Escroquerie
2 %
4 %
Usurpation d’identité
4 %
Abus de confiance
4 %
Diffamation par voie électronique
Vol
Chantage
(101) Sont ici considérées comme hors champ cyber, les infractions de corruption ou d’agression de mineurs après mise en contact par un réseau de
communications électroniques, ainsi que celles liées à la pédopornographie (consultation, enregistrement, détention ou diffusion d’images).
> 88 <
Vision statistique des infractions constatées par la Préfecture de Police
L’infocentre Orus de la Préfecture de Police de Paris fournit les données statistiques sur
les plaintes liées à la cybercriminalité, pour les deux directions concernées, la direction de
la sécurité de proximité de l’agglomération parisienne (DSPAP) et la direction régionale
de la police judiciaire (102) (DRPJ).
Escroqueries en ligne
289 380 669
(dont CB)
Autres infractions en ligne
690 180 870
(hors STAD & Escroqueries)
Figure 25 :Ventilation des infractions traitées par la Préfecture de Police de Paris en 2018
(102) La DRPJ traite la cybercriminalité avec principalement ses brigades spécialisées : BEFTI, BRDA (délinquance astucieuse), BFMP (moyens de
paiement), BRDP (délinquance sur la personne) et BPM (mineurs).
(103) 29 cas de corruption et 7 d’agressions de mineurs après mise en contact par un réseau de communications électroniques, le restant portant
sur des faits de consultation, d’enregistrement, de détention ou de diffusion d’images pédopornographiques.
> 89 <
Partie II - Usages et phénomènes constatés
Signalements
188 055
200 000
170 712
180 000
153 586 163 723
160 000
136 536
140 000
119 643 123 720
120 000
101 106
100 000
77 533
80 000
52 219
60 000
40 000
20 000
0
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
100 000
55,1 %
90 000
80 000
70 000 Terrorisme
Discriminations
60 000 Escroqueries & extorsions
Atteintes sur les mineurs
Absence de qualification juridique
50 000
Révélation de faits commis hors internet
Menaces
40 000 Trafics illicites
Infractions diverses
30 000 Atteintes aux STAD et aux appareils électroniques
12,6 % Actes de cruauté envers les animaux
20 000 Activités commerciales et professionelles illicites
8,8 %
5,8 %
10 000
2,8 % 3,9 % 2,5 %
0
> 90 <
18 741 demandes de retrait (-41 % par rapport à 2017), 1 644 demandes de blocage
(+120 %) et 8 528 demandes de déréférencement (+220 %) ont été adressées aux
professionnels de l’Internet au cours de l’année(104), en application de l’article 6-1
de la LCEN. Pour les mesures de blocage, ce sont 2 811 000 connexions à des pages
pédopornographiques et 23 280 connexions à de la propagande terroriste qui ont été
empêchées.
L’approche partenariale développée avec le secteur privé et les associations (en
particulier l’association « Point de Contact » et « Signal Spam ») a permis de renforcer
les signalements, pour constituer près de 4 % de la totalité des signalements reçus.
2.3.1.3 Activité de la plateforme Perceval
Le lancement de PERCEVAL a été annoncé publiquement le 6 juin 2018 par le ministre de
l’Intérieur. Cette plateforme accessible au grand public en ligne, via service-public.fr, vise à
recueillir et analyser le contentieux massif des usages frauduleux de carte bancaire.
État des signalements enregistrés (10 mois)
PERCEVAL a recueilli plus de 100 000 signalements, représentant plus de 400 000 usages
frauduleux(105) depuis l’ouverture du téléservice ; soit une moyenne de 310 signalements
par jour depuis la création de la plateforme. Depuis novembre 2018 plus de 450
signalements par jour sont effectués sur la plateforme, confirmant une progression en
constante augmentation.
Figure 28 : Évolution des signalements Perceval entre juin 2018 et mars 2019
(104) En ce qui concerne les images pédopornographiques, PHAROS a adressé en 2018 : 7.717 demandes de retrait, 3.699 demandes de
déréférencement et 393 demandes de blocage.
(105) Un internaute signale près de 4 usages frauduleux en moyenne par signalement effectué sur Perceval.
> 91 <
Partie II - Usages et phénomènes constatés
Le préjudice moyen par signalement est de 480 €. Plus de 4 500 signalements portent sur
un préjudice supérieur à 1 500 €. Le préjudice total rapporté dans PERCEVAL est évalué
à plus de 55 millions d’euros.
Selon l’Observatoire sur la sécurité des moyens de paiement (OSMP), 3,48 millions de
paiements à distance frauduleux étaient recensés pour l’année 2017, avec un préjudice
total de 234,2 millions d’euros. Ainsi en comparaison avec ces données et rapporté à
la durée de fonctionnement du téléservice, PERCEVAL parvient à collecter près d’un
sixième des signalements d’usagers et près d’un tiers du préjudice identifié par les acteurs
économiques. En ce sens, cela atteste d’une bonne identification de l’outil par le public.
Activité judiciaire issue de la plateforme PERCEVAL au 31/12/2018
Les données collectées par la plateforme PERCEVAL sont analysées par les enquêteurs
du service central de renseignement criminel (SCRC) de la Gendarmerie à Pontoise. De
nombreux recoupements et rapprochements ont conduit à l’ouverture de 55 enquêtes
auprès du parquet de Pontoise (95) et l’envoi de 285 réquisitions.
Sur ces 55 enquêtes judiciaires :
> 27 ont déjà été ventilées aux parquets compétents au regard du lieu de livraison de la
marchandise achetée frauduleusement et/ou de l’identification des mis en cause ;
> 28 dossiers sont encore en cours d’exploitation au sein du département délinquance
économique et financière du SCRC.
L’enquête la plus significative a permis l’identification de plusieurs auteurs pour un
préjudice cumulé supérieur à 100 000 €. Plus de 15 victimes ont signalé les faits de
détournement de carte bancaire dans PERCEVAL, dans cette affaire.
2.3.1.4 Activité de la plateforme d’assistance aux victimes de cybermalveillance
Porté par une démarche interministérielle, le dispositif national d’assistance est accessible
depuis octobre 2017 au travers de la plateforme cybermailveillance.gouv.fr. Il est animé par
le groupement d’intérêt public (GIP) Action contre la cybermalveillance (ACYMA), dans
lequel le ministère de l’Intérieur est fortement impliqué au côté de l’ANSSI (voir § 3.4.5
pour une description complète).
En 2018, la plateforme a assisté près de 29 000 victimes (85 % de particuliers, 12,6 %
d’entreprises et 2,4 % de collectivités).
> 92 <
Au travers des informations recueillies, l’hameçonnage, les virus (dont les rançongiciels) et
les pourriels (spam) sont les trois menaces figurant parmi les quatre les plus importantes.
Ce tableau est complété par le piratage de compte s’agissant des particuliers, les intrusions
sur les serveurs s’agissant des entreprises et les défigurations de sites s’agissant des
collectivités.
Le dispositif permet de détecter rapidement des phénomènes émergents. Début
février 2019, le dispositif a constaté une forte recrudescence des campagnes d’arnaques
au chantage à la webcam (prétendue piratée - cf. § 2.2.3.2) avec des pics hebdomadaires de
plus de 7 000 victimes assistées sur ce sujet (semaines 6 et 7). Un message de prévention
a été immédiatement diffusé et le site a été modifié afin de prendre en compte cette
nouvelle menace.
Durant le premier trimestre 2019, la plateforme a accompagné plus de 38 000 victimes
(contre près de 29 000 pour toute l’année 2018). Le dispositif a ainsi assisté plus de
70 000 victimes depuis son lancement.
2.3.2 Vision des cybermenaces par les services du ministère de la Justice
Le travail des forces de police et de gendarmerie alimente l’activité des juridictions.
Le système statistique du ministère de la Justice ne permet pas de déterminer des variables de
mode opératoire, et donc d’isoler au sein du vaste ensemble des infractions de droit commun,
celles qui peuvent relever de la cybercriminalité.
Il est en revanche possible de repérer les infractions spécifiques, soit les infractions d’atteintes
aux STAD ou en lien avec le traitement de fichiers dans les condamnations, soit en raison d’une
circonstance aggravante spéciale.
Dès lors, les données chiffrées afférentes à la cybercriminalité apparaissent nécessairement très
en deçà de la réalité que cette notion recouvre, en particulier dans la mesure où elles ne rendent
pas compte des infractions financières commises en ligne.
Deux sources produites par la sous-direction des statistiques et des études (SDSE) du secrétariat
général du ministère de la Justice permettent de décrire l’activité judiciaire :
> le système d’information décisionnelle (SID) construit à partir des données présentes dans le
logiciel Cassiopée(106) expose les flux d’affaires enregistrées puis orientées par les parquets ;
> les tables construites à partir du casier judiciaire national permettent de détailler précisément
les décisions (condamnations et compositions pénales) définitives prononcées par les
juridictions pénales, à l’exception des relaxes et des acquittements.
Chacune de ces sources permet de décrire des phases différentes de l’activité judiciaires et
livrent des informations complémentaires ; les données du ministère de l’Intérieur portent par
ailleurs sur la phase de constatation des infractions et d’élucidation, en amont de la saisine de
l’autorité judiciaire.
> 93 <
Partie II - Usages et phénomènes constatés
Les données :
> Affaires nouvelles et orientées par les parquets pour des infractions d’atteintes aux STAD
Entre 2013 et 2017, les affaires nouvelles ont plus que doublé (x2,4).
> Affaires nouvelles et orientées par les parquets pour des atteintes aux droits de la personne
résultant des fichiers ou des traitements informatiques
Entre 2013 et 2017, les affaires nouvelles portant sur les atteintes à la protection des données à
caractère personnel sont orientées à la baisse, après avoir connu un pic en 2014.
> 94 <
Infractions ayant donné lieu à condamnations
Infractions Textes principaux
2013 2014 2015 2016 2017*
Articles 323-1 à 323-8
Atteintes aux STAD 141 191 275 220 221
du Code pénal
Atteintes aux droits de la personne
Articles 226-16 à 226-
résultant des fichiers ou des traitements 45 50 63 68 72
24 du Code pénal
informatiques
Atteinte au secret des correspondances Article 226-15 alinéa
15 21 30 27 15
électroniques 2 du Code pénal
Envois réitérés de messages malveillants
Article 222-16 du c
par réseau de communications 2 39 151 240
Code pénal
électroniques
Atteinte à la vie privée (diffusion
Article 226-2-1 alinéa 2
d’images ou paroles à caractère sexuel 20
du Code pénal
sans le consentement de la personne)
Viol avec mise en contact par réseau de Article 222-24 8° du
3 3 5 5 3
communications électroniques Code pénal
Agression sexuelle avec mise en
Article 222-28 6° du
contact par réseau de communications 4 5 8 5 7
Code pénal
électroniques
Atteinte sexuelle avec mise en contact
Article 227-26 4° du
par réseau de communications 27 25 18 23 20
Code pénal
électroniques
Harcèlement moral au moyen d’un Article 227-26 4° du
1 5 7 8
réseau de communications électroniques Code pénal
Source : Ministère de la Justice/SG/SEM/SDSE fichier statistique du Casier judiciaire national – Traitement DACG-PEPP
*données provisoires
> 95 <
Partie II - Usages et phénomènes constatés
(107) https://www.cesin.fr/fonds-documentaire-4eme-edition-du-barometre-annuel-du-cesin.html
(108) Répartition : 11 % de moins de 250 salariés, 37 % entre 250 et 5 000, 35 % entre 5 000 et 50 000, 17 % de plus de 50 000 salariés.
(109) Mise en place et utilisation d’applications non approuvées par l’entreprise.
> 96 <
Phishing ou spear-phishing 73 %
Arnaque au Président 50 %
Infection par un malware 44 %
Cryptolocker / Ransomware 44 %
Social engineering 40 %
Usurpation d’identité et fraude 35 %
Vol d’identifiants 30 %
Déni de service 29 %
Fraude 27 %
Attaque ciblée 24 %
Vol de données personnelles 18 %
Usurpation de comptes sur des réseaux sociaux / fake news 14 %
12 %
5
Défiguration de site web
(110) https://clusif.fr/publications/menaces-informatiques-pratiques-de-securite-france-edition-2018-rapport/
> 97 <
Partie II - Usages et phénomènes constatés
Selon l’étude du CESIN, les enjeux pour demain restent plus humains que techniques. Pour les
responsables de la sécurité des systèmes d’information (RSSI), l’enjeu principal pour l’avenir de
la cybersécurité est celui de la formation et de la sensibilisation des utilisateurs. La gouvernance
de la cybersécurité doit également être placée au bon niveau. Malgré un impact positif de la mise
en conformité RGPD sur la gouvernance des entreprises (59 %), la confiance en la capacité des
COMEX à prendre en compte les enjeux de la cybersécurité est très inégale en fonction des
secteurs d’activité. Enfin, la pénurie de ressources humaines en cybersécurité est un défi majeur
pour les organisations.
2.3.4 Vision européenne proposée par Europol
Europol, dans son rapport sur l’évaluation de la cybercriminalité, paru en septembre 2018
(Internet Organised Crime Threat Assessment dit « iOCTA »), dégage les grandes tendances de la
cybercriminalité dans l’Union européenne :
> la persistance des attaques par rançongiciels ou par déni de service distribué, qui peuvent
être le fait d’États et non plus seulement d’individus ou de groupes relevant de la criminalité
organisée. L’objectif poursuivi n’est plus exclusivement financier mais aussi de déstabilisation ;
> l’ingénierie sociale qui reste l’une des techniques cybercriminelles les plus utilisées ;
> Le développement des cryptomonnaies pour financer ou blanchir les revenus d’une activité
criminelle et leur minage. Les logiciels malveillants de minage de cryptomonnaie ont été
largement distribués par les cybercriminels en 2018 (cf. cryptojacking) ;
> un volume toujours plus important de contenus illicites sur Internet, notamment
pédopornographiques (partagés de manière confidentielle et sur les darknets, qui demeurent
des places de marchés cybercriminels malgré la fermeture des plus importants d’entre eux tels
que Alphabay, Hansa et RAMP) et terroristes (diffusés à des fins de propagande notamment) ;
> des fraudes sans présence de la carte (Card-No-Present ou CNP) aujourd’hui courantes et un
usage continu de la technique du skimming.
Une synthèse du rapport IOCTA 2018 figure en annexe.
2.3.5 Le coût de la cybercriminalité
L’évaluation du coût de la cybercriminalité reste encore un exercice complexe et repose pour
l’instant sur des études évaluatives ou des sondages. Très souvent, elles se basent sur l’impact
économique pouvant affecter les entreprises plutôt que les particuliers, sachant que le coût global
d’une attaque informatique ne peut être précisé immédiatement. En voici quelques exemples :
> L’impact financier des incidents informatiques est encore mal connu et son évaluation est
réalisée par moins de la moitié des entreprises (43 %) selon l’étude « Menaces informatiques
et pratiques de sécurité » du CLUSIF 2018. Cette démarche est plus répandue dans les
secteurs de la Banque-Assurance (63 %). Selon l’étude du CESIN (cf. infra), les cyber-attaques
ont des impacts concrets dans 59 % des cas (+10 points / 2017) sur le business des entreprises
touchées : ralentissement voire arrêt de la production, indisponibilité du site Internet, retard
de livraison, perte de chiffre d’affaires (CA),...
> Pour les entreprises(111), le coût moyen d’un détournement de données serait de l’ordre de
3,62 millions de dollars, avec un coût par enregistrement évalué à 141 dollars, sachant que ce
coût est plus élevé pour les industries fortement réglementées ;
> 98 <
> Selon un sondage effectué auprès de 1 000 entreprises (112), le coût estimé d’une violation de
sécurité serait en moyenne de 330 000 euros pour une entreprise de 1 000 salariés ou moins,
et 1,3 million d’euros pour une entreprise de plus de 5 000 salariés. Il existe également une
disparité entre les différents secteurs d’activités ; les entreprises de services informatiques et
les acteurs de la grande distribution, de la logistique et des transports doivent anticiper des
pertes plus importantes en cas d’intrusion ;
> En novembre 2018, une étude sur la cybersécurité des PME françaises réalisée par l’IFOP (113)
menée auprès de dirigeants de ce type d’entreprises, met en avant que près d’un quart des
PME interrogées ont subi une attaque informatique dans l’année écoulée. Pour 64 % d’entre
elles, cette attaque a entraîné un coût inférieur à 10 000 euros, mais pour 14 % d’entre elles
ce coût était supérieur à 50 000 euros ;
> L’OSMP publie chaque année le volume précis des montants frauduleux, les préjudices étant
portés selon les cas par les banques, les commerçants ou parfois les clients. Dans le schéma
ci-après, on observe que le montant global de la fraude, liée aux cartes de paiement, s’élève,
concernant les transactions traitées dans les systèmes français (cartes françaises et étrangères),
à 467 millions d’euros en 2017 (dont 290,5 millions d’euros réalisés sur des transactions sur
Internet), en baisse de 9,7 % par rapport à 2016 (après déjà une baisse d’1 % en 2016).
600
523 518
501
500 470 467
451
413
400 369
342
320
300 274 269
245 242 236 253
200
100
0
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
Source : Observatoire
Figure 31 : Montant de lade la sécurité
fraude sur les des moyenstraitées
transactions de paiement
dans les systèmes français, cartes françaises
et étrangères. Source : Observatoire de la sécurité des moyens de paiement.
(112) NTT Com Security, « Brèches de sécurité - quel est le coût réel pour votre business ? », octobre 2016.
(113) Les PME face aux enjeux de sécurité informatique, Étude IFOP du 5 au 9 novembre 2018 de nature quantitative auprès de 702 décideurs,
réalisée pour Kaspersky et Euler Hermes.
> 99 <
Partie III
Les actions
du ministère
de l’Intérieur
Partie III - Les actions du ministère de l’Intérieur
Parallèlement à l’action des services opérationnels, la politique de lutte contre les cybermenaces a connu un
renouveau et a gagné en visibilité avec la parution du décret n° 2017-58 du 23 janvier 2017(114) instituant un
délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) au ministère
de l’Intérieur.
Par son rôle de coordination de l’ensemble des acteurs concernés au sein du ministère et son action en lien
avec les acteurs de la filière industrielle de sécurité, la délégation ministérielle a vocation à jouer un rôle de
pilotage stratégique en matière de lutte contre les cybermenaces. Elle initie des partenariats et définit des
plans d’action au niveau du ministère, mais assure aussi le dialogue entre l’Intérieur et les différents ministères
impliqués, ainsi qu’avec les acteurs publics et privés concernés.
3.1 Gouvernance
À l’occasion de son intervention au 10e Forum international de la cybersécurité (FIC) en janvier 2018 (115),
le ministre de l’Intérieur a confié à la DMISC le soin d’élaborer une « feuille de route cyber » en lien avec
les directions opérationnelles et les services concernés du ministère. Il s’agissait de définir leur ambition
partagée, visant à prévenir les cybermenaces, gérer les cybercrises et lutter contre la cybercriminalité.
Son élaboration s’inscrit dans un contexte de continuité. En effet, le ministère s’est engagé il y a déjà
plusieurs années dans la lutte contre les cybermenaces, comme en témoignent la création d’une
mission dédiée, intégrée dans la DMISC en 2017, et la réalisation de travaux préparatoires en 2014
et 2017(116). Par ailleurs, le ministère de l’Intérieur a contribué à la rédaction de la Revue stratégique de
cyberdéfense(117), confiée par le Premier ministre au secrétariat général de la défense et de la sécurité
nationale (SGDSN) et publiée en février 2018.
Tout au long de l’année 2018, la feuille de route cyber a mobilisé l’ensemble des services du ministère :
services opérationnels, secrétariat général, attachés de sécurité intérieure, etc., mais aussi des partenaires
externes, institutionnels et privés.
Interne au ministère, ce rapport classifié est un document préparatoire destiné aux seules entités ayant
besoin d’en connaître. Quelques données ont néanmoins été rendues publiques(118).
En premier lieu, la feuille de route expose l’état de la lutte contre les cybermenaces aujourd’hui et inclut
une cartographie des ressources dédiées du ministère, ainsi qu’une étude comparative européenne et
internationale. Plus de 8 600 personnels du ministère ont été formés dans le domaine cyber et sont
répartis sur l’ensemble du territoire national : 80 % d’entre eux sont dans le réseau territorial. Ainsi, le
ministère dispose d’un maillage territorial fort, tissé avec des compétences incontestables et décisives
en cas de crise majeure.
Le document décrit également la projection de la lutte contre les cybermenaces à l’horizon 2022, à
travers une vision prospective de la menace, mais aussi le recensement de la trajectoire des services et
du ministère. Une politique innovante de ressources humaines est en cours de mise en place, à travers
le recrutement de 800 agents supplémentaires, consacrés à la lutte contre les cybermenaces au sein de
l’ensemble des directions opérationnelles, et à la sécurité des systèmes.
(114) https://www.legifrance.gouv.fr/eli/decret/2017/1/23/INTA1635805D/jo
(115) https://www.interieur.gouv.fr/Archives/Archives-ministre-de-l-Interieur/Archives-Gerard-Collomb-mai-2017-octobre-2018/
Interventions-du-ministre/Discours-du-ministre-au-Forum-international-de-la-Cybersecurite-2018
(116) Il s’agit du plan d’action de lutte contre les cybermenaces en matière de sécurité intérieure du 28 mai 2014 et de la stratégie ministérielle de
lutte contre les cybermenaces établie en janvier 2017 :
https://www.interieur.gouv.fr/Archives/Archives-des-actualites/2017-Actualites/Lutter-contre-les-cybermenaces
(117) http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/
(118) https://www.interieur.gouv.fr/Le-secretaire-d-Etat/Interventions-du-secretaire-d-Etat/Intervention-de-Laurent-Nunez-au-
11eme-Forum-International-de-la-Cybersecurite
> 102 <
Enfin, cette démarche collaborative a conduit à l’élaboration de différents projets structurants et
organisationnels. La feuille de route a fait l’objet d’une présentation au ministre de l’Intérieur qui en a
validé les termes et notamment la nécessité de renforcer l’équipe DMISC.
3.2. Prévenir et protéger
Le ministère de l’Intérieur, par sa présence dans les territoires, est un acteur majeur de la sensibilisation
des particuliers, des acteurs économiques et des collectivités territoriales.
3.2.1. Les actions de prévention
3.2.1.1 Grand public
Les services du ministère de l’Intérieur ont participé tout au long de l’année 2018, à de
nombreux salons, rencontres et conférences, ouverts au public, au cours desquels les
problématiques liées aux cybermenaces ont été abordées.
À l’échelle nationale, de nombreuses actions de sensibilisation aux cybermenaces
sont conjointement mises en œuvre par le ministère et des associations. Peuvent être
cités : le dispositif national d’assistance aux victimes d’actes de cyber malveillance(119), le
Centre expert contre la cybercriminalité français(120) (CECyF), le site d’information sur
les botnets Antibot (121), la plateforme de lutte contre les spams vocaux et sms 33 700(122),
ainsi que les associations Signal Spam(123), Phishing Initiative(124), Point de contact(125) et
e-Enfance(126). Quotidiennement, la police et la gendarmerie délivrent des messages sur
le site du ministère, ainsi que sur les réseaux sociaux (comptes officiels sur Facebook,
Twitter et Instagram).
Au niveau local, les services du ministère de l’Intérieur accomplissent de nombreuses
actions de prévention grâce à leur présence sur le territoire.
Deux publics sont particulièrement vulnérables et exposés aux cybermenaces :
les jeunes et les séniors. Aussi, ces derniers font l’objet d’actions de prévention
ciblées de la part du ministère. La jeunesse constitue un point de vigilance particulier :
les enfants et les adolescents peuvent être autant auteurs d’actes répréhensibles sur
Internet (harcèlement, diffamation, discrimination, etc.) que victimes (vol de données,
pédopornographie, embrigadement, radicalisation, etc.).
Le milieu scolaire est bien sûr un relais optimal des actions de sensibilisation auprès des
enfants, mais aussi de leurs parents et de leurs enseignants. Entre septembre 2017 et
juin 2018, la gendarmerie a sensibilisé plus de 33 000 élèves du primaire, près de 190 000
élèves du secondaire, plus de 5 000 étudiants, plus de 7 000 parents et 11 000 membres
du corps enseignant(127).
Il convient de rappeler le succès de l’opération « Permis Internet », le programme
national de prévention pour un usage d’Internet vigilant, sûr et responsable à l’attention
des enfants de CM2 et de leurs parents. Ainsi, plus de 7 700 actions de sensibilisation ont
> 103 <
Partie III - Les actions du ministère de l’Intérieur
été conduites, par les services de police et de gendarmerie, auprès de 160 000 élèves
entre septembre 2017 et juin 2018. À ce jour, 2 000 000 d’enfants en ont bénéficié.
Des initiatives plus récentes ont vu le jour, comme la création, en octobre 2018, du
cahier de vacances sur la sécurité numérique, « Les As du Web »(128). À destination
des enfants de 7 à 11 ans, ce document a été créé par la branche française de l’Information
Systems Security Association (ISSA) avec le concours de la Gendarmerie nationale et de la
Préfecture de Police, qui l’imprime pour les écoliers du ressort.
> 104 <
3.2.1.2 Sensibilisation du monde économique
Les mesures préventives ont pour objectif d’anticiper les menaces et de protéger les
acteurs économiques a priori contre les risques et dangers numériques auxquels ils sont
exposés.
La sensibilisation de tous les acteurs économiques aux risques encourus et moyens
de protection existants constitue aussi un élément essentiel de la stratégie, puisqu’elle
contribue à réduire les risques encourus et à les motiver à participer activement au
renforcement de leur propre cybersécurité.
Le ministère de l’Intérieur a renforcé les compétences des référents sûreté de la
Préfecture de Police, de la Gendarmerie et de la Police nationales, présents au niveau
territorial, afin qu’ils permettent aux entreprises qu’ils conseillent, de mieux se préparer
aux problématiques liées à la cybercriminalité et à la radicalisation. À titre d’illustration,
les référents de la Gendarmerie nationale sensibilisent, dans le cadre de la politique
publique d’intelligence économique, près de 6 000 entreprises – majoritairement TPE/
TPI – aux risques informatiques chaque année.
Les services du ministère de l’Intérieur participent aux actions de sensibilisation menées
par / ou avec leurs partenaires étatiques, en particulier avec l’ANSSI, en région parisienne
ou dans les autres régions, lors d’événements dédiés aux PME/PMI, tel le Forum du Rhin
supérieur sur les cybermenaces(133).
En 2018, la direction générale de la sécurité intérieure (DGSI) a organisé plus de 1 450
conférences sur la protection de l’information et la sécurité numérique, notamment à
l’endroit des entreprises et des partenaires institutionnels. Près de 74 000 auditeurs ont
ainsi été sensibilisés à des thématiques abordant le risque cyber, la sécurité économique,
la menace terroriste ou les questions de radicalisation en entreprise.
Les sujets abordés évoluent progressivement en fonction des nouvelles menaces ou des
nouveaux dispositifs juridiques, nationaux ou européens. Ainsi cette année, un accent a
été porté sur la sensibilisation des personnels effectuant des voyages professionnels à
l’étranger et les questions de chiffrement.
Les publics sensibilisés demeurent très divers (acteurs institutionnels ou privés, PME ou
groupes, agents, salariés, comité exécutif, etc.) et la sensibilisation peut faire l’objet d’une
conférence généraliste ou d’ateliers plus spécifiques pour des directeurs des affaires
juridiques ou des directeurs sûreté.
La SDLC mène aussi des actions de sensibilisation du monde économique aux risques
cyber, notamment à travers l’action du réseau des référents cybermenaces zonaux, qu’elle
expérimente depuis mars 2018 (voir 3.3.3.3).
Elle participe également aux actions de communication menées par le ministère de
l’Intérieur.À ce titre, elle collabore à la réalisation de supports de prévention à destination
des entreprises tels que le flyer « savoir se prémunir face à une attaque informatique ».
Elle diffuse également conjointement avec EC3 d’Europol des plaquettes de prévention
contre le vol de données bancaires et de moyens de paiement et sur la sécurisation des
achats sur internet.
(133) Organisé chaque année depuis 2008 à l’ENA à Strasbourg par la région de gendarmerie et la réserve citoyenne en Alsace.
> 105 <
Partie III - Les actions du ministère de l’Intérieur
(134) Depuis fin 2017, les entreprises qui le souhaitent peuvent contacter et solliciter directement un référent sécurité économique et protection des
entreprises, placé auprès d’une région de gendarmerie. Plus de 6 000 entreprises ont été sensibilisées par ces référents en 2018.
(135) Ces fiches de renseignement alimentent la Base de données de sécurité publique (BDSP).
> 106 <
pénales, de lutte contre les menaces à la sécurité publique et la prévention de telles menaces,
le ministère de l’Intérieur a réformé en 2018 son organisation en matière de protection des
données à caractère personnel.
L’objectif de cette organisation est de garantir la protection des droits et libertés des personnes
physiques, notamment contre les risques résultant d’une attaque des systèmes d’information du
ministère. Les textes exigent ainsi l’adoption de mesures organisationnelles et techniques en vue
d’assurer la sécurité des traitements, la traçabilité des accès, la réalisation d’une analyse d’impact
préalable en cas de traitement présentant un risque élevé, la mise en place d’une procédure de
notification des autorités et des personnes en cas de violation des données, tout en conservant
la nécessité d’un acte réglementaire et une saisine préalable de la CNIL pour la majorité des
traitements du ministère de l’Intérieur.
Un délégué ministériel à la protection des données a été nommé et placé auprès du
Secrétaire général du ministère. Il exerce les missions prévues à l’article 39 du RGPD et à
l’article 70-17 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Son rôle principal est notamment d’assister les responsables de traitement dans la réalisation
des analyses d’impact relatives à la protection des données (AIPD), dans la tenue des registres
de traitements et lors des notifications de violations de données à caractère personnel. Pour
l’ensemble de ses missions, il anime et s’appuie sur un réseau de correspondants à la protection
des données nommés dans chaque direction et service du ministère, ainsi que dans ses échelons
territoriaux et ses opérateurs.
La direction des libertés publiques et des affaires juridiques (DLPAJ) conserve son rôle central
en matière de protection des données à caractère personnel pour le ministère de l’Intérieur,
en lien avec le délégué ministériel à la protection des données. Dans ce cadre, elle est chargée
de l’instruction des dossiers relatifs aux traitements autorisés par un acte réglementaire pris
après avis de la CNIL ainsi que ceux qui, au terme d’une analyse d’impact (AIPD), nécessitent
une consultation de cette commission. Dans ce cadre, la DLPAJ apporte une expertise juridique
aux directions du ministère. Par ailleurs, elle a à connaître l’ensemble des projets européens
ou nationaux (législatifs ou réglementaires) relatifs à la protection des données à caractère
personnel ou la consultation de traitements de données.
En raison de la spécificité de certains fichiers du ministère, qui ne relèvent pas du RGPD mais de
la directive 2016/680 dite « Police-Justice », le délégué ministériel à la protection des données
a défini une doctrine d’application des textes particulière au ministère. Sur la base de cette
doctrine, des actions de formation des correspondants et de sensibilisation des agents ont été
lancées par le délégué. En quelques mois, le ministère a présenté à la CNIL plusieurs analyses
d’impact relatives à la protection des données, qui évaluent les risques pour les droits et libertés
des personnes concernées et qui déterminent les mesures et garanties pour faire face à ces
risques.
Enfin, il convient de noter que la Gendarmerie nationale a obtenu le label CNIL RGPD en 2018.
> 107 <
Partie III - Les actions du ministère de l’Intérieur
défense et de sécurité adjoint. Il compte près de 400 responsables de la sécurité des systèmes
d’information (RSSI)(136), et plus de 1 100 assistants locaux et correspondants locaux.
Homologation des systèmes d’information
Conformément au cadre réglementaire en vigueur et aux bonnes pratiques en la matière, la
protection des systèmes d’information du ministère s’appuie sur le processus d’homologation
de sécurité. Ce processus implique les autorités dans les décisions liées à la sécurité numérique
et permet d’ajuster les mesures de sécurité aux enjeux du système, des informations qu’il traite
et des missions auxquelles il concourt.
Dans ce cadre, le ministère s’est donné pour objectif l’homologation de tous ses systèmes
d’information, en priorisant les plus essentiels et les nouveaux systèmes(137). L’année 2018 a vu
de nombreux travaux d’analyse de risque en vue de préparer des homologations.
Au premier rang des systèmes concernés, le réseau bureautique du ministère doit être
homologué au niveau « Diffusion restreinte ». Le programme « Homologation DR » consiste en
une trentaine de mesures cohérentes, indépendantes les unes des autres et concourant toutes
à la réduction du risque. Parmi les réalisations de l’année, on peut noter l’homologation du
système d’information « poste de travail Linux GendBuntu » en novembre 2018.
On peut également noter que les deux infrastructures de gestion de clés cryptographiques
utilisées pour la certification des agents et des services du ministère (celle de la gendarmerie
nationale et celle du reste du ministère) ont fait l’objet d’un processus ayant abouti à leur
qualification de conformité au RGS**.
Défense des systèmes d’information
La détection, la qualification et la réaction aux incidents SSI sont assurées par le centre de
cyberdéfense du ministère de l’Intérieur (C2MI) à Toulouse. Ce centre maintient et développe
également les systèmes contribuant à la détection, à l’analyse et au traitement de ces incidents.
Le C2MI collabore activement avec les autres centres opérationnels externes, notamment celui
de l’ANSSI et internes, notamment le groupe de sécurité opérationnelle au Service de traitement
de l’information gendarmerie (STIG) à Rosny-sous-Bois.
Enfin, différentes actions de sensibilisation ont eu lieu auprès de l’ensemble des agents du
ministère. En particulier, plusieurs campagnes de sensibilisation au risque de phishing ont été
réalisées par le centre de cyberdéfense. Elles ont concerné 74 sites et près de 13 000 courriels
de test ont été envoyés.
La résilience des systèmes
La résilience est un enjeu particulièrement important pour les systèmes d’information du
ministère. Par exemple, le Service de traitement de l’information Gendarmerie (STIG) dispose
d’une plateforme de très haute disponibilité (appelée IPMS, pour « infrastructure de production
mutualisée et secourue ») certifiée conforme aux normes(138) depuis plusieurs années.
(136) La nomination d’un RSSI donne lieu à son inscription à une formation obligatoire, réalisée par le centre de formation de l’ANSSI.
(137) Par exemple, le système d’information PERCEVAL a été homologué en février 2018.
(138) Certifiée ISO 20.000 (gestion des services informatiques) depuis 2011, ISO 27.001 (sécurité de l’information) depuis 2015, et ISO 22.301
(continuité d’activité) depuis 2018. Ces certifications sont remises en jeu chaque année.
> 108 <
3.3. Enquêter
3.3.1 L’accueil des victimes d’actes de cybercriminalité
La prise en compte des victimes passe avant tout par la capacité d’un dispositif à accueillir,
écouter, analyser et orienter vers le service idoine. Toute victime de cybercriminalité doit être
accueillie par le ministère, comprise et pouvoir déposer plainte si elle le souhaite, ou fournir des
informations qui seront exploitées.
Selon le recensement de la gendarmerie sur tout le territoire national, plus de 5 700 victimes sont
accueillies chaque mois pour des infractions où le numérique intervient de manière principale.
Par ailleurs, depuis le mois de février 2018, la brigade numérique assure l’accueil du public dans
l’espace numérique, en lien permanent et dans la continuité de l’action de la gendarmerie sur le
terrain. Plus de 65 000 sollicitations ont été enregistrées depuis la mise en service de la brigade
numérique (cf. § 3.4.3.3).
Outre la formation de tous les acteurs chargés de l’accueil des victimes, les services
opérationnels finalisent des dispositifs de recueil de plaintes pour mieux partager et exploiter
certaines données relatives à la cybercriminalité comme les escroqueries en ligne avec le
projet THESEE (cf. § 3.4.4.1). Les victimes peuvent déjà être orientées par certains services
télématiques existants - pré-plainte en ligne et plateforme PERCEVAL (cf. § 3.4.4.2) ou encore le
site cybermalveillance.gouv.fr (cf. § 3.4.5).
En 2018, la plateforme Info Escroquerie de l’OCLCTIC a reçu 39 394 appels soit une augmentation
de 39 % par rapport à 2017 (année qui avait connu une hausse de 24 %). 72 % d’entre eux
étaient liés à des escroqueries sur Internet ou à la téléphonie (+7 points par rapport à 2017).
Les appels concernant les malwares ont connu une légère diminution en comparaison de l’année
2017, en l’absence d’attaques majeures liées à des rançongiciels. L’arnaque au faux support
technique est en pleine progression, de même que les cas de phishing (+20 %) et ceux concernant
le trading/opération binaire (cf. § 2.2.3.2). En revanche, les appels pour les escroqueries à la
téléphonie continuent de diminuer.
12 %
> 109 <
Partie III - Les actions du ministère de l’Intérieur
> 110 <
La cohérence du système repose sur une approche quantitative et qualitative par niveau de
compétence requis. La SDLC a amorcé une diminution progressive des formations d’ICC pour
stabiliser leur nombre entre 550 et 600 à terme, parallèlement à l’accroissement nécessaire du
nombre de PICC. À ce jour :
> 507 ICC sont déployés dans les services de sécurité intérieure. 48 doivent être formés en
2019 ;
> plus de 260 PICC ont été formés. Le seuil optimal est évalué à 5 000 PICC ;
> près de 2 000 personnes ont validé la formation EIRS.
C3N - CyberGend
Action judiciaire du C3N
Le Centre de lutte contre les criminalités numériques (C3N) conduit des enquêtes judiciaires,
souvent sur la base de constatations dressées d’initiative. 160 enquêtes ont été menées en 2018,
dont 60,5 % d’initiative. Par ailleurs, le département d’enquête du C3N a identifié 156 suspects
et transmis les investigations associées aux unités territoriales en vue d’interpellation.
33 %
30% Atteinte aux biens
Stupéfiants / médicaments
> 111 <
Partie III - Les actions du ministère de l’Intérieur
Enfin, les NTECH au nombre de 250, suivent une licence professionnelle en partenariat avec
l’université de technologie de Troyes et un stage de remise à niveau. Affectés en Section de
recherches (S.R.), offices centraux, PJGN, cellules d’identification criminelle et numérique
(141) Le C3N en charge de la formation « enquêteur sous pseudonyme » forme chaque année 48 gendarmes.
> 112 <
(CICN) ou en formations spécialisées, les NTECH interviennent en fonction de leur affectation
soit sur un versant enquête soit sur un versant criminalistique numérique. Au sein des SR,
des offices et du C3N, les NTECH développent des capacités d’enquête en matière cyber et
mènent des investigations complexes visant à mettre à jour des groupes criminels utilisant les
technologies numériques. Côté criminalistique numérique, dans chaque département, les CICN
ont pour mission de rechercher les traces numériques et les indices (analyse des disques durs,
exploitation des données recueillies sur tous supports…). Enfin les dossiers criminalistiques
demandant un haut niveau de compétence sont traités par les experts du département
Informatique- Électronique de l’Institut de recherche criminelle de la Gendarmerie nationale
(IRCGN) de Pontoise.
Le C3N est membre de l’European Cybercrime Training and Education Group (ECTEG).
BEFTI
Outre la formation, la BEFTI de la Préfecture de Police de Paris a pour mission d’enquêter et
d’apporter son assistance aux unités de la plaque parisienne.
En 2018, la BEFTI a ouvert 205 enquêtes et en a clôturé 292. Elle a un important portefeuille de
185 enquêtes en cours. 72 personnes ont été mises en cause, dont 37 placées en garde à vue
et 35 entendues librement. 9 ont été mises à disposition des magistrats et 20 ont fait l’objet de
convocations au tribunal (COPJ/CRPC).
Par ailleurs, elle a réalisé 150 assistances au profit des services de la DRPJ et en moindre
importance, de la DSPAP. 445 supports numériques ont été analysés pour un total de 135 To.
En outre, la fonction de guichet unique de l’urgence de la BEFTI fluidifie les demandes souvent
complexes des services de la Préfecture de Police de Paris auprès des opérateurs de l’Internet.
En matière de formation, des interventions de sensibilisation des entreprises ou de formation
des agents publics ou d’universitaires sont mises en œuvre par la Préfecture de Police, par
l’intermédiaire de la BEFTI et la BFMP, voire du conseiller aux questions liées à la cybercriminalité
du préfet de Police.
DGSI
La DGSI dispose, au sein de sa sous-direction des affaires judiciaires, d’une section spécialisée
dans le traitement des affaires liées à la cybercriminalité. Ce service dispose d’une compétence
exclusive pour évoquer toutes les infractions résultant d’une violation des articles inscrits
au chapitre 3 du Code pénal (articles 323-1 à 323-7), dans la mesure où ces actions sont
directement menées contre les intérêts fondamentaux de la Nation. Il s’agit de toutes les
attaques informatiques dirigées contre les systèmes et réseaux gouvernementaux, les attaques
contre les systèmes et réseaux appartenant à des opérateurs d’importances vitales (OIV) ou
des établissements disposant de zones à régimes restrictifs, et enfin, toute atteinte à un système
susceptible de nuire aux intérêts fondamentaux de la Nation.
Création d’un département cyber
Afin de mieux répondre aux défis posés par les menaces cyber, la DGSI a créé un nouveau
département cyber au sein de sa direction technique. Cette structure doit concourir aux missions
de cyberdéfense telles que définies dans la revue stratégique cyber publiée en février 2018. La
DGSI devra travailler notamment avec l’ANSSI pour lutter contre les menaces pesant sur les
réseaux des OIV et des OSE français.
Ce département a également un rôle d’analyse et de sensibilisation à la menace cyber auprès des
autorités et des partenaires de la DGSI.
> 113 <
Partie III - Les actions du ministère de l’Intérieur
> 114 <
> de valorisation par le développement de partenariats, le transfert de connaissances et la
communication (publications, colloques scientifiques, ateliers de recherche…).
Les échanges techniques et technologiques avec le ministère des Armées se développent, en
particulier avec le commandement cyber de l’État-major des Armées et la Direction générale
de l’Armement (DGA). De même, les échanges avec le monde académique se densifient
progressivement, avec des partenariats avec le Centre national de recherche scientifique (CNRS),
l’Institut national de recherche en informatique et en automatique (INRIA) et le Commissariat
à l’énergie atomique et aux énergies alternatives (CEA).
Développements d’outils et projets de recherche académique
Les enquêteurs et les techniciens travaillant dans l’investigation ou l’analyse numérique
(« forensics ») ont besoin d’outils spécifiques, adaptés à leur environnement de travail. Toutefois,
les différents produits disponibles sur le marché ne répondent pas toujours à l’ensemble des
spécifications souhaitées.
Aussi, les services centraux spécialisés des directions opérationnelles développent régulièrement
un certain nombre d’outils pour répondre à ces besoins ou participent à des projets de recherche
académique visant à finaliser des démonstrateurs. Ces outils logiciels ou matériels sont alors
partagés par les différents services intéressés.
Face à la multiplication des contenus en accès libre sur Internet (réseaux sociaux, hébergeurs
de contenu, sites de vente en ligne, blogs…), la collecte de données en source ouverte sur
Internet nécessite des outils adaptés. En effet la diversité des sites, la volumétrie ainsi que les
systèmes de protection de contenus (systèmes de suppression rapide, protections contre les
automates…) rendent difficile l’exploration manuelle ou l’utilisation d’outils peu complexes. Face
à l’augmentation continue des infractions sur Internet, l’enjeu est d’offrir au réseau CyberGEND
les capacités de rechercher, fixer, capter et analyser des données publiquement accessibles sur
Internet, caractérisées par un risque fort de suppression rapide (censure des réseaux sociaux
et autres hébergeurs de contenus), des protections contre les automates (darknet, captchas)
et des volumétries importantes. Les technologies utilisent des algorithmes de pointe et des
calculateurs puissants, fruits d’une collaboration entre le réseau CyberGEND, le SIRPA, la SDAO,
le Commandement Cyber des Armées et les polices suisse et belge. Deux projets phares sont
conduits au PJGN au titre de la R &D :
> GENDscrapper, applicatif de capture de contenus, avec possibilité de paramétrage en
profondeur des contenus à aspirer au sein des pages. L’outil permet entre autres à l’enquêteur
de contourner d’éventuels filtres anti-robot afin de poursuivre son exploration automatique.
De nombreux additifs sont actuellement en conception ;
> ALICE (Automatic Labelling for Image Collections Exploration). Ce projet de recherche,
lancé en 2016 par le C3N, a pour but d’automatiser la recherche, le tri et l’identification
des images susceptibles de matérialiser un crime ou un délit aggravé. Un processus d’analyse
sémantique a été développé par deep learning pour l’identification des images d’armes à feu. Le
développement actuel vise à élargir le spectre des images ciblées (stupéfiants, pédophilie…)
en 2019 et à rendre le système d’analyse « portable » pour en doter les personnels de terrain.
La mission prospective et management de l’innovation de la Préfecture de Police et la BEFTI
participent activement au programme “ASGARD” (Analysis System for Gathered Raw Data). Il
s’agit d’un projet européen du programme « Horizon 2020 » rassemblant des forces de police,
des entreprises ainsi que des chercheurs (CEA) afin de développer des solutions « logicielles »
dans l’analyse de données au profit des services opérationnels. Des sessions de travaux sont
organisées chaque semestre dans un pays européen participant, ainsi que deux hackathons en
2018 qui ont été remportés par la BEFTI.
> 115 <
Partie III - Les actions du ministère de l’Intérieur
Par ailleurs, la BEFTI suit les travaux du LORIA (Laboratoire lorrain de Recherche en
Informatique et ses Applications de l’Université de Nancy), visant à développer une technique
permettant de détecter « l’ADN » des malwares, en vue de les comparer. Il a été mis au point
une automatisation de requêtes spécifiques pour comprendre le fonctionnement d’un malware
isolé. Ceci permet d’obtenir des informations plus précises sur le comportement des malwares
identifiés dans les affaires judiciaires.
> 116 <
Au plan européen, le dialogue avec les opérateurs de l’Internet est conduit dans le cadre
de l’EU Internet Forum. L’objectif premier de ces travaux est d’obtenir qu’ils s’engagent
à retirer les contenus terroristes dans l’heure qui suit leur publication, pour éviter leur
dissémination sur la toile (on parle de la Golden Hour). Ils sont aussi encouragés à mettre
en place des mesures proactives afin de détecter et de retirer de tels contenus.
3.4.2.2 Travaux de la filière des industries de sécurité
En 2013, le Comité de Filière des industries de sécurité (CoFis) a été créé, d’une
part, pour faire face aux menaces contre la sécurité des biens et des personnes, et d’autre
part, pour soutenir la compétitivité des acteurs français sur le marché mondial de la
sécurité. La DMISC a représenté le ministre de l’Intérieur dans les travaux du CoFis et
assuré le suivi des actions engagées dans ce cadre.
Dans le cadre du dialogue constant avec les industriels, le ministère de l’Intérieur, en lien
avec le ministère de l’Économie et des finances, a activement œuvré pour le lancement
d’une seconde phase dans la dynamique de filière industrielle de sécurité avec la création
d’un 18e comité stratégique de filière (CSF) au sein du Conseil national
de l’industrie (CNI), le 22 novembre 2018, en même temps que celui consacré aux
infrastructures du numérique (17e CSF). Placé sous la présidence du Premier ministre, le
CNI permet un travail entre les différentes filières et place chaque CSF sous la conduite
d’un industriel avec un comité de pilotage rassemblant l’État et les industriels, avec des
objectifs communs. Dans le cas du CSF Industries de sécurité, le copilotage de l’État sera
assuré par les ministères de l’Économie (DGE) et de l’Intérieur (DMISC), le SGDSN avec
l’ANSSI. Cette évolution permettra de consolider le développement et la croissance
d’une filière de tout premier plan.
3.4.2.3 Cercles de réflexion
Des personnels du ministère de l’Intérieur participent régulièrement à des échanges
et présentations au sein de cercles de réflexion, comme l’Institut Montaigne, l’Institut
français des relations internationales (IFRI), la Fondation pour la recherche stratégique
(FRS), le cercle Montesquieu ou encore le Centre d’Étude et de Prospective Stratégique
(CEPS), au sein desquels des sujets liés à l’espace numérique et à la sécurité sont
développés. Ils prennent part également à des manifestations organisées par ces Think
Tanks comme les journées d’étude FRS ou des conférences dans d’autres enceintes
comme la CyberTaskForce ou le CyberCercle, qui présente un cadre privilégié de
rencontre Public-Privé autour des questions de sécurité et organise chaque année depuis
2013, les Rencontres Parlementaires de la Cybersécurité.
Afin d’être au plus près des acteurs économiques, administratifs et politiques qui,
dans les territoires, doivent insérer la sécurité numérique dans leur champ d’action
et de développement, le CyberCercle organise en région des journées de rencontres
territoriales sur la cybersécurité. Placées sous la dynamique des élus locaux, elles ont pour
vocation de réunir l’ensemble des acteurs concernés par le sujet, autour de thématiques
en adéquation avec les préoccupations du tissu économique local, à l’aune des enjeux
de développement des territoires péri-urbains et ruraux. Ainsi ce « Tour de France de la
cybersécurité » a vocation à aller sur le terrain pour sensibiliser les institutions locales et
les petites entreprises aux cybermenaces. Après Pau et Lannion en 2018, la saison 2019
a débuté à Bourges fin février et a associé des acteurs comme la CCI France ou le groupe
La Poste, mais aussi le ministère de l’Intérieur, représenté par la DMISC.
> 117 <
Partie III - Les actions du ministère de l’Intérieur
> 118 <
3.4.3.2 Plateforme de signalement des violences sexuelles et sexistes
Annoncé par le Président de la République dans son discours du 25 novembre 2017,
le portail de signalement en ligne des violences sexuelles et sexistes (VSS), commun à
la police et la gendarmerie, fait partie des mesures phares pilotées par le ministère de
l’Intérieur, notamment dans le cadre de la PSQ.
Inauguré le 27 novembre 2018, ce portail repose sur un dispositif national, disponible
24 heures sur 24 et 7 jours sur 7, et est accessible via le site internet service-public.
fr ou directement à l’adresse www.signalement-violences-sexuelles-sexistes.gouv.fr. En
fonction des zones de répartition, les demandes reçues sont traitées par la brigade
numérique de Rennes (20 gendarmes) ou la plateforme du commissariat de Guyancourt
(DDSP 78 - 16 policiers et une psychologue).
La discussion interactive instantanée (« tchat ») permet un échange individualisé (et
anonyme) avec un policier ou un gendarme spécifiquement formé à la prise en charge
des victimes de violences sexuelles et sexistes. La victime est orientée et accompagnée
de chez elle dans ses démarches vers les commissariats et brigades ainsi que vers
les dispositifs de prise en charge des victimes (psychologues, intervenants sociaux,
permanence d’association) ou associations locales d’aide aux victimes qui peuvent lui
venir en aide.
3.4.3.3 Brigade numérique de la gendarmerie
Pour définir et animer sa stratégie de transformation numérique et de lutte contre
les cybermalveillances, la gendarmerie s’est dotée en mai 2017 d’une entité dédiée, la
mission numérique de la Gendarmerie nationale (MNGN). L’un de ses premiers
projets est la « brigade numérique ». La mission dirige également les évolutions du projet
NEOgend et a mené, conjointement avec la Police nationale, le projet « portail des
violences sexuelles et sexistes ».
Dans le cadre de la modernisation et de l’effort de contact avec les citoyens, la
gendarmerie a décidé de s’engager dans une démarche de proximité numérique, passant
entre autres par l’ouverture d’une brigade numérique à Rennes le 27 février 2018.
Fonctionnant 7 J/7 et 24h/24 et constituée de 20 gendarmes spécialement formés,
cette unité nationale réalise numériquement les fonctions de contact et d’accueil du
public dévolues aux accueils des brigades territoriales (hors urgences). Elle recueille les
informations que les citoyens souhaitent transmettre à la gendarmerie, effectue certains
actes d’enquête, répond à leurs sollicitations et les oriente vers les téléservices. Cette
offre a été complétée progressivement fin 2018 avec l’affichage des horaires d’accueil
des brigades, la prise de rendez-vous en ligne ou encore une expérimentation de bornes
tactiles et la présence dans des maisons de service au public.
Depuis son lancement, la brigade numérique a traité plus de 40 000 demandes et elle
reçoit actuellement près de 200 sollicitations par jour. Concernant les canaux, le webchat
(38 %) et Facebook (37 %) sont prépondérants et dominent le formulaire de contact/
courriel (20 %), les messages privés Twitter (5 %) restant marginaux. En plus des comptes
nationaux, la brigade numérique répond aux messageries de comptes de groupements de
gendarmerie départementale : 50 Facebook Messenger et 4 Twitter.
La plupart des sollicitations concerne les questions de sécurité du quotidien, le
recrutement et la communication d’informations, chacun représentant 23 % des
demandes. Plus de 270 fiches de renseignement ou procès-verbaux ont déjà été effectués
et près de 2 600 informations concernant des sujets extrêmement variés (radicalisation,
pédopornographie, viols, véhicules volés, nuisances routières, tentatives de suicide,
> 119 <
Partie III - Les actions du ministère de l’Intérieur
remerciements, etc.) ont été retransmises, principalement vers les unités territoriales de
la gendarmerie. Les nombreux échanges entre les gendarmes de la brigade numérique
et les citoyens sont de qualité, avec un indice de satisfaction de 9 pour le chat et de 8,6
pour le formulaire.
3.4.3.4 La mise en place du réseau des référents cybermenaces
Un réseau des référents cybermenaces de la Police nationale a été lancé à titre
expérimental le 9 mars 2018. Il a pour objectif de sensibiliser le tissu économique local
au risque cyber dans le contexte de la mise en œuvre du RGPD et d’animer le réseau
inter-directionnel local de la Police nationale dans ce domaine. Il crée les conditions d’un
dialogue avec le tissu économique local, particulièrement exposé aux risques numériques.
Trois cellules expérimentales sont actuellement déployées sur des régions pilotes : le
Grand Est, la Bretagne et la Nouvelle-Aquitaine. Ce dispositif a vocation à être généralisé
à l’ensemble du territoire.
Le réseau se structure de façon innovante en faisant intervenir dans chaque zone des
acteurs spécialisés de la police judiciaire et des partenaires issus du secteur privé :
> un commissaire référent au sein de la direction interrégionale de Police judiciaire (DIPJ)
du chef-lieu de la zone, anime le réseau inter-directionnel de la police nationale au
niveau territorial, conçoit une stratégie locale, pilote le réseau zonal et assure le relai
entre la SDLC et celui-ci ;
> un réserviste de haut niveau, issu du secteur privé, assure la sensibilisation du tissu
économique local ;
> un réseau de partenaires volontaires, principalement des commissaires aux comptes,
formés aux problématiques cyber par la SDLC et la DIPJ et assurant un relai quotidien
auprès des entreprises locales.
Un dialogue interministériel permet d’articuler ce dispositif avec les autres intervenants,
parmi lesquels : les délégués ANSSI, les délégués à l’information stratégique et à la sécurité
économiques et les préfets délégués à la défense et à la sécurité, la sécurité publique et
la police aux frontières.
3.4.3.5 L’activité des réseaux de réservistes « cyber »
Les réservistes opérationnels et les réservistes citoyens de défense et de sécurité de
la Gendarmerie nationale ayant des compétences, une expérience et une appétence
particulières dans les domaines de la sécurité du numérique, de la lutte contre la
cybercriminalité et de la cyberdéfense, interviennent selon leur statut dans des missions
et des groupes de travail variés (sensibilisation des entreprises aux côtés des gendarmes,
renfort de la gendarmerie dans la sécurisation de ses systèmes d’information, élaboration
de nouveaux outils et méthodes, organisation de forum et séminaires, etc.). Certains
participent aux missions définies conjointement par les référents de la gendarmerie, du
Commandement de cyberdéfense (ministère des Armées) et de l’ANSSI en région et par
les instances nationales de cette gouvernance tripartite.
3.4.3.6 Communication de crise : Système d’Alerte et d’Information des Populations (SAIP) et
Médias Sociaux en Gestion d’Urgence (MSGU)
La Direction générale de la sécurité civile et de la gestion des crises (DGSCGC) est
chargée du pilotage d’un certain nombre de mesures facilitant l’information des citoyens
en cas de crise.Travaillant de conserve, la Délégation à l’information et à la communication
(DICOM) apporte son expertise en matière de réseaux sociaux dans les dispositifs
rénovés mis en place.
> 120 <
L’alerte et l’information des populations
La DGSCGC demeure compétente en matière d’alerte des populations en situation de
crise. Elle pilote toujours le volet « système d’alerte et d’information aux populations »
-SAIP- dit « historique » (2 000 sirènes d’alerte) ainsi que d’autres dispositifs d’alerte et
d’information à l’instar des conventions permettant aux pouvoirs publics de diffuser des
messages sur les ondes de Radio France ou via les stations de France Télévisions.
Destiné à prévenir la population en cas d’attaque terroriste réelle ou supposée, le
dispositif SAIP mobile, lancé en mai avant l’Euro 2016, a cessé fin mai 2018. Nécessitant
un téléchargement sur smartphone, cette application n’a jamais connu l’audience espérée
(900 000 à l’été 2017), limitant son impact en cas de crise. Sur le plan opérationnel,
l’application a par ailleurs souffert de dysfonctionnements et les choix de déclenchement
ou de non-déclenchement n’ont pas été compris, ce qui a limité sa crédibilité auprès des
utilisateurs.
Aussi, dès lors que la menace terroriste reste élevée sur le territoire français, le ministère
de l’Intérieur a souhaité que des outils plus efficaces et plus répandus soient utilisés pour
alerter la population d’une situation susceptible de constituer un danger immédiat. Déjà
chargée de la communication du ministère de l’Intérieur sur les réseaux sociaux via ses
comptes sur Facebook, Twitter…, la DICOM s’est vu confier le pilotage de l’utilisation
de ces vecteurs pour les situations de crise depuis le 1er juin 2018. Les messages d’alerte
et de prévention du ministère seront diffusés de façon prioritaire sur Twitter, Facebook
et Google, mais aussi certains canaux de communication de la RATP, Vinci Autoroutes,
Radio France et France Télévisions. Concrètement, Twitter assurera une visibilité toute
particulière aux messages du ministère en cas de crise grave avec un bandeau spécial en
haut du fil des Tweets. Parallèlement, le ministère de l’Intérieur propose de s’abonner et
activer les notifications du compte @Beauvau_alerte, lancé le 1er juin dernier.
> 121 <
Partie III - Les actions du ministère de l’Intérieur
Enfin, les sociétés d’autoroutes (ASFA), la RATP, France Télévisions et Radio France
relaieront aussi via leurs applications, réseaux sociaux ou panneaux d’information les
messages du ministère si la situation le nécessite.
Tout un travail partenarial et de compréhension de l’univers numérique a été engagé
par la DICOM et ces entités afin de prendre en compte les impératifs techniques et
« métiers ». L’adaptation des conventions existantes et la mise en place de nouvelles
(SNCF, Snapchat, Qwat…) s’effectuent en collaboration avec la DGSCGC.
Médias Sociaux en Gestion d’Urgence (MSGU)
Le développement des médias sociaux, la généralisation de leur usage par le grand public
et l’instantanéité de la diffusion d’information ont conduit à leur prise en compte par la
DGSCGC dans le cadre de la détection et du suivi des évènements.
La désintermédiation est au cœur du fonctionnement de ces médias, permettant à des
personnes victimes ou témoins d’évènements ou d’incidents de transmettre directement
leur expérience. Cela constitue un outil précieux pour la DGSCGC dans ses missions
de gestion de crise, permettant d’anticiper les informations remontées par les canaux
officiels et de les compléter. Cependant, le volume d’informations produit par ces médias,
ainsi que le mélange de témoignages de première main et de rumeurs colportées font
que ces outils sont complexes à exploiter (centaines de messages à analyser, sources à
recontacter pour vérifier leur témoignage…).
Pour y parvenir, après 3 ans d’expérimentation, la DGSCGC s’est associée en 2016
avec des volontaires regroupés dans l’association VISOV (Volontaires Internationaux en
Soutien Opérationnel Virtuel). Le centre opérationnel de gestion interministériel de crise
(COGIC) est en contact direct avec VISOV, dont les membres rédigent et transmettent
des comptes rendus sur des thématiques particulières. En 2018, le COGIC a activé
les volontaires de l’association 2 à 3 fois par semaine, ce qui constitue une très forte
augmentation par rapport aux années précédentes.
3.4.4 Mieux appréhender les phénomènes de masse
3.4.4.1 Projet Thésée
La SDLC porte le projet de « plainte en ligne » dit « THESEE » (Traitement Harmonisé
des Enquêtes et Signalements pour les e-escroqueries) pour lutter plus efficacement
contre le phénomène de masse que constituent les escroqueries sur Internet. Ce dispositif
doit permettre pour les usagers la prise de plaintes en ligne contre X. Ce télé-service
sera adossé à un outil d’analyse afin de centraliser et de recouper des informations
communiquées par les internautes, pour diligenter des enquêtes. Le dispositif sera
constitué de plusieurs briques :
> un télé-service adossé au site service-public.fr ;
> une interface de validation des demandes de plaintes ;
> un outil d’analyse.
Il s’appuiera sur deux autres projets, le nouveau logiciel de rédaction de procédure
(SCRIBE) et la signature électronique de l’enquêteur actuellement en cours de
développement au service des technologies et des systèmes d’information de la Sécurité
intérieure (STSI²).
> 122 <
Le projet est entré dans une phase de test des outils informatiques déjà développés.
La concertation avec le ministère de la Justice a permis de proposer une modification
législative afin de désigner un futur Parquet référent national qui pourra centraliser les
plaintes. Les modalités d’accès des autorités judiciaires à la future plateforme ont été
définies.
3.4.4.2 Plateforme Perceval (pour rappel)
Développée par la Gendarmerie nationale, cette plateforme permet aux particuliers
de signaler toute transaction par carte bancaire dont ils ne sont pas à l’origine (carte
toujours en leur possession). La démarche est simple pour le citoyen et pourra servir de
guide pour la demande de remboursement par la banque.
La plateforme vise ainsi à recueillir et analyser le contentieux massif des usages frauduleux
de carte bancaire. Opérationnelle depuis juin 2018, son activité a été détaillée au chapitre
2.3.1.3.
3.4.5 Aider à la remédiation
Plateforme d’assistance aux victimes de cybermalveillance
La stratégie nationale pour la sécurité du numérique présentée en octobre 2015 a annoncé
la mise en place d’un dispositif national d’assistance aux victimes d’actes de cybermalveillance.
Le programme gouvernemental « cybermalveillance.gouv.fr » assume aujourd’hui le rôle
de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès
de la population française. Il accompagne les particuliers, les entreprises et les collectivités
territoriales, victimes d’un acte de cybermalveillance, pour l’établissement d’un diagnostic précis
de leur situation, la mise en relation avec les spécialistes et organismes compétents proches de
chez eux et la mise à disposition d’outils et de publications dispensant de nombreux conseils
pratiques.
Le dispositif national d’assistance, animé par le groupement d’intérêt public « Action contre
la cybermalveillance » (GIP ACYMA) et porté par une démarche interministérielle associant
l’ANSSI, les ministères de l’Intérieur, de l’Économie et des Finances, de la Justice et le secrétariat
d’État en charge du Numérique, est accessible depuis octobre 2017 pour toutes les régions de
France. Le groupement comprend, en mars 2019, 35 membres en dehors du collège étatique : 13
membres dans le collège « utilisateurs », 4 dans le collège « prestataires » et 18 dans le collège
« fournisseurs de solutions »(145).
Fin janvier 2019, le nombre de prestataires référencés s’est établi à 1 500, permettant un maillage
territorial complet pour l’ensemble des menaces recensées. Il y a eu au total plus de 40 000
mises en relation victimes/prestataires depuis le lancement national.
Un kit de sensibilisation a été réalisé en 2018(146) ; son objectif est d’adresser le particulier à
travers le canal professionnel. Plus de 21 000 entités ont téléchargé ce kit soit plus de 11 millions
de collaborateurs potentiellement adressés.
En 2019, l’effort principal du GIP ACYMA portera sur la communication afin de faire connaitre
le dispositif auprès des citoyens, des entreprises et des collectivités territoriales. L’objectif est
d’augmenter la visibilité de la plateforme et son utilisation en terme de « parcours victimes », mais
aussi d’impliquer un plus grand nombre de partenaires privés ou publics dans la sensibilisation
de tous ces publics.
(145) Il s’agit d’acteurs de la société civile comme des associations de consommateurs ou d’aides aux victimes, des représentations professionnelles,
des assureurs, des opérateurs, des constructeurs, des éditeurs…
(146) https://www.cybermalveillance.gouv.fr/contenus-de-sensibilisation/
> 123 <
Partie III - Les actions du ministère de l’Intérieur
Ce dispositif devra aussi permettre d’apporter des éléments d’information sur les incidents
de sécurité informatiques rencontrés par les victimes. Les informations techniques et modes
opératoires ainsi recueillis seront analysés au sein du futur observatoire du risque numérique,
notamment pour informer et alerter les autorités et le public sur l’état de la menace. Les
premiers mois ont d’ores et déjà permis l’identification de phénomènes de masse, comme les
arnaques au faux support technique, pris en compte par les services judiciaires.
3.4.6 L’identité numérique
3.4.6.1 Le cadre juridique
À ce jour, le cadre juridique de l’identité numérique en France est le suivant.
Sur le plan européen, le règlement n° 910/2014/UE du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du
marché intérieur, dit règlement « eIDAS » et ses actes d’exécution établissent un socle
commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises
et les autorités publiques. Il a pour ambition d’accroître la confiance dans les transactions
électroniques au sein du marché intérieur.
Sur le plan national, l’article 86 de la loi n° 2016-1 321 du 7 octobre 2016 pour une
République numérique, complété par l’ordonnance n° 2017-1 426 du 4 octobre
2017 relative à l’identification électronique et aux services de confiance pour les
transactions électroniques, a créé en droit français la notion de « moyen d’identification
électronique présumé fiable ». Cet article codifié à l’article L. 102 du Code des postes
et des communications électroniques prévoit que la preuve de l’identité numérique
aux fins d’accéder à un service de communication en ligne peut être apportée par
un moyen d’identification électronique. Ce même article énonce en outre que ce
moyen d’identification est présumé fiable jusqu’à preuve du contraire lorsqu’il répond
aux prescriptions du cahier des charges, établi par l’Agence nationale de sécurité des
systèmes d’information (ANSSI). Ce cahier des charges fait l’objet d’un décret qui sera
très prochainement examiné par le Conseil d’État. Il établit le niveau de garantie qu’un
moyen d’identification électronique doit avoir pour être présumé fiable et fixe les titres
d’identités reconnus comme sources faisant autorité pour la preuve et la vérification
de l’identité des personnes physiques lors de la délivrance d’un moyen d’identification
électronique présumé fiable (carte nationale d’identité, passeport, titre de séjour).
3.4.6.2 Le parcours d’identification
Le développement des usages numériques crée, pour chaque utilisateur, de multiples
besoins de s’identifier au quotidien, aussi bien dans la sphère publique (démarches
administratives en ligne) que privée (commerce en ligne). Or, dans la plupart des cas,
l’identification sur Internet présente un faible niveau de garantie (identifiant et mot de
passe) et induit un risque vis-à-vis de l’utilisation des données personnelles.
Diverses, les menaces touchent autant l’administration que le citoyen sur l’ensemble de
la chaîne de valeur associée à la délivrance d’un service numérique : usurpation d’identité
lors de l’entrée en relation, vol et fuite des données ou encore attaque en déni de service.
C’est pourquoi l’État a souhaité la mise en place d’un parcours d’identification numérique
comportant au moins deux niveaux de garantie, dont un niveau élevé au sens du
règlement européen e-IDAS(147). Ce texte instaure un cadre commun en la matière et
(147) Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de
confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
> 124 <
prévoit une obligation de reconnaissance mutuelle des solutions notifiées au sein de
l’Union européenne à partir de septembre 2018.
Pour ce faire, le Premier ministre a confié conjointement au ministre de l’Intérieur, à la
ministre de la Justice et au secrétaire d’État chargé du Numérique le soin de mettre en
place un programme interministériel(148) pour la conception et la mise en œuvre de ce
parcours d’identification numérique.
Ce parcours a vocation à constituer un service public d’une nouvelle nature. En premier
lieu, il permettra au citoyen de prouver son identité lors de ses interactions dans
l’environnement numérique. En second lieu, il favorisera la sécurisation des schémas
d’identification, ainsi que la fiabilisation des données d’identité transmises par les citoyens.
Ainsi, il réduira le risque d’usurpation d’identité en ligne et s’inscrira pleinement dans la
logique de protection des données personnelles. Enfin, l’identité numérique concourt
à l’exigence de simplicité, nécessaire à une appropriation par le citoyen des nouveaux
services en ligne que pourra offrir l’État mais également d’autres acteurs.
Dans une logique d’interopérabilité, le parcours d’identification numérique devra s’intégrer
au sein du dispositif FranceConnect, développé par la Direction interministérielle du
numérique et du système d’information et de communication de l’État (DINSIC).
L’année 2018 a permis à la direction de programme de réaliser de nombreux travaux
collaboratifs, contribuant à l’enrichissement du cahier des charges de l’État à l’occasion
des Assises de l’identité numérique(149), en avril 2018.
Réunis lors d’un comité stratégique en décembre 2018, les ministres commanditaires ont
validé les orientations majeures d’une stratégie française de l’identité numérique : déployer,
dans un premier temps, une carte nationale d’identité électronique (CNIe) à partir de
2021, puis faciliter ultérieurement le développement d’offres privées d’identification.
Aussi, l’année 2019 sera plus opérationnelle et consacrée aux expérimentations,
notamment celles des parcours utilisateurs et de la solution régalienne sur smartphone
portée par le ministère de l’Intérieur (Alicem(150)). Le succès et la généralisation de ces
expérimentations constitueront ainsi les prémices d’une politique publique de l’identité
numérique, fondée sur le triptyque neutralité-interopérabilité-sécurité.
> 125 <
À quels défis
faut-il se préparer ?
De l’ensemble des constats abordés précédemment, on peut tirer une liste de défis auxquels les États et
notamment la France sont confrontés et doivent se préparer :
Le constat de menaces persistantes ou nouvelles
Généralités
L’évolutivité
● des menaces liées au numérique, leur sophistication croissante et leur opportunisme
sont unanimement constatés.
● La cybercriminalité élargit son spectre d’action année après année, grâce au développement d’un
modèle basé sur la notion de « cybercrime as a service » et l’intégration croissante de capacités cyber dans
les réseaux criminels traditionnels.
● Corollaire à l’apparition de nouvelles technologies (Cloud, IA, IoT, 5G…) et aux nouveaux usages, la surface
d’attaque augmente continuellement. En particulier, en ciblant des périphériques connectés mal
sécurisés, les cybercriminels pourront mener des attaques plus préjudiciables et accéder aux réseaux
domestiques ou de smart cities, voire contrôler des infrastructures critiques tant dans le domaine industriel
que celui de la santé.
● Une complémentarité entre la massification et le ciblage des attaques est également observée.
Focus sur ces menaces persistantes ou nouvelles
● Lescontenus illicites représentent un défi majeur et quotidien pour les États. En matière de la lutte
contre le terrorisme, le retrait rapide et durable des contenus radicaux implique des efforts partagés,
à étendre aux discours de haine. Viralité de l’information sur les réseaux sociaux, phénomènes de
manipulation de l’information, enfermement cognitif des usagers, autant de situations qui peuvent rendre
nécessaires des mécanismes de régulation spécifiques comme le montrent les travaux des états généraux
des nouvelles régulations numériques (EGRN).
● Les darknets demeurent des plateformes essentielles dans l’organisation de nombreux trafics. La fermeture
des grands marchés mondiaux a conduit les cybercriminels à opérer sur des marchés secondaires ou plus
spécifiques. Ces darknets complexifient le travail des services d’enquête.
●
Après les campagnes d’attaques massives par rançongiciel de 2017, un changement de stratégie des
cybercriminels peut être observé. Autrefois indiscriminées, les attaques par rançongiciel semblent
davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées.
● La délinquance liée aux cryptoactifs se développe : cryptojacking (minage clandestin), attaques de
plateforme d’échanges, levée de fonds ICO, utilisation de Bitcards, escroqueries pyramidales basées sur les
cryptoactifs… Elle se tourne vers des cryptomonnaies présentant un anonymat renforcé des transactions.
● Les cybercriminels semblent privilégier des modes opératoires plus difficiles à détecter comme le spear-
phishing ou le cryptojacking. L’ingénierie sociale reste l’une des techniques cybercriminelles les plus
utilisées.
● Lesmalwares bancaires semblent en plein essor sur les smartphones et les attaques de distributeurs
bancaires par jackpotting se sont intensifiées et diversifiées.
● Lesapplications fausses ou malveillantes sur smartphones (Appstores, Play Stores, Markets, etc.)
constituent également un point de vigilance majeur.
> 128 <
Les réponses à apporter aux menaces
Des défis stratégiques
● Le concept de souveraineté numérique(151) pose la question de la capacité de l’État à préserver et
protéger les intérêts de la Nation. Le champ du numérique étant dominé par des acteurs internationaux (152),
la stratégie française devra permettre de faire face à l’ensemble de ces risques ou menaces à travers une
gouvernance adaptée. Constituant un patrimoine économique considérable, l’ensemble des leviers doit
être aussi utilisé pour protéger les données. Sur ce point, le RGPD apparait comme un premier acte
européen de souveraineté dans le cyberespace.
La
● gestion des crises cyber doit être mieux organisée, avec notamment une planification à 360° des
actions interministérielles.
La
● maîtrise de la sécurisation de l’identité numérique des citoyens, dans leurs relations avec
l’administration ou les entreprises, est une préoccupation majeure au cœur du projet gouvernemental ;
elle permettra de développer des usages numériques plus fluides, de mieux protéger les données et de
mieux lutter contre la fraude.
Des défis technico-juridiques
●
La protection des systèmes d’information critiques pour la Nation mais aussi celle des intérêts
économiques reposent sur un ensemble de fonctions clés pour lesquelles il convient d’avoir recours à
des technologies maîtrisées, car leur déficience aurait des conséquences de grande ampleur. La maîtrise
de ces technologies clés du numérique(153) permettra d’assurer de l’autonomie stratégique nationale.
●
Lutter efficacement contre les menaces actuelles ou émergentes implique une veille efficiente des
modes opératoires et des technologies sous-jacentes, ainsi qu’un développement d’approches adaptées
en matière d’investigations, tout en intégrant tous les outils et procédés disponibles (IA…).
● Les outils de chiffrement des données et d’anonymisation sur Internet soulèvent des questions
techniques, juridiques et opérationnelles dans la lutte contre la criminalité et le terrorisme ; ils rendent
l’accès à la preuve numérique plus complexe.
● L’exploitation à des fins malveillantes de l’intelligence artificielle (IA) par des cybercriminels est
à envisager à la fois comme vecteur d’attaque mais aussi comme cible d’une attaque. Par exemple, l’usage
de techniques de machine learning dans les campagnes de phishing ou la conception de DeepFake dans le
premier cas, l’utilisation détournée de chatbots dirigés par l’IA dans l’autre.
Des défis culturels
● Laprise de conscience de chacun face aux risques cyber représente un enjeu majeur. L’état de vigilance
que la population a adopté dans le monde physique doit être le même dans le monde numérique, dans un
esprit de continuum de sécurité : personne ne laisse la porte de son domicile ouverte en son absence,
mais beaucoup ne protègent pas leur ordinateur ou leur smartphone.
● Ily a trop peu de dépôts de plaintes. Pourtant cette démarche positive est primordiale pour l’État
(connaissance des modes opératoires) afin d’améliorer la qualité des investigations mais aussi de mettre
en œuvre une prévention plus ciblée et de meilleure qualité (bulletins d’alerte). Elle est également
essentielle aux victimes, particuliers et organisations, qui peuvent être accompagnées ou prises en charge.
Par ailleurs ce qui peut apparaitre comme un évènement de faible intensité, peut en réalité faire partie d’un
phénomène de masse avec des préjudices globaux élevés.
(151) Dans son ouvrage éponyme dédié à la souveraineté numérique, Pierre Bellanger la définit comme « la maîtrise de notre destin sur les réseaux
informatiques. C’est l’extension de la République dans cette immatérialité informationnelle qu’est le cyberespace ».
(152) GAFAM (Google, Apple, Facebook, Amazon et Microsoft), NATU (Netflix, AirBnB, Tesla et Uber), BATX (Baidu, Alibaba, Tencent et Xiaomi)…
(153) Trois exemples de telles technologies clés sont cités dans la revue stratégique de cyberdéfense de février 2018 : les technologies de chiffrement
des communications, les radiocommunications sécurisées et les sondes de détection des attaques informatiques.
> 129 <
● Une gouvernance spécifique de l’éthique en intelligence artificielle et des algorithmes devrait
être adoptée pour faire émerger des technologies conformes à nos valeurs et nos normes sociales(154)
Des défis territoriaux
● L’organisationet la mise en cohérence des actions de prévention dans les territoires constituent
une voie de progrès pour le ministère de l’Intérieur ainsi que les autres acteurs impliqués dans la sécurité
de l’espace numérique.
● Face à la concentration de l’offre de sécurité numérique dans les espaces urbains, le développement d’une
offre de proximité est pourtant indispensable dans les territoires et pour tous les publics.
Terme/Acronyme Définition
ANSSI Agence nationale de la sécurité des systèmes d’information
Advanced persistant threats - menaces persistantes avancées, auxquelles on
APT pourra préférer la notion d’attaque en profondeur ou ciblée, souvent via
des RAT
Brigade d’enquête sur les fraudes aux technologies de l’information (Préfecture
BEFTI
de police de Paris)
C2MI Centre de cyberdéfense du ministère de l’Intérieur
Centre de lutte contre les criminalités numériques (Gendarmerie
C3N
nationale)
CESIN Club des Experts de la Sécurité de l’Information et du Numérique
CJUE Cour de justice de l’Union européenne
CLUSIF Club de la sécurité de l’information français
CNIL Commission nationale informatique et libertés
Rançongiciel chiffrant : le logiciel malveillant chiffre les documents
Cryptolocker personnels de la victime et réclame le paiement d’une rançon pour
obtenir la clé de déchiffrement
Réseau des enquêteurs spécialisés en technologies numériques
CyberGend
(Gendarmerie)
DDoS distributed denial-of-service attacks : attaques par déni de service distribuées
DGSI Direction générale de la sécurité intérieure
EC3 European Cybercrime Centre (Europol)
FOVI Escroquerie aux faux ordres de virement internationaux
GCP Groupe de contact permanent (État - prestataires de l’Internet)
Le groupement d’intérêt public (GIP) ACYMA anime le dispositif national
GIP ACYMA d’assistance aux victimes d’actes de cybermalveillance (plateforme www.
cybarmalveillance.gouv.fr)
ICC Investigateurs en cybercriminalité (police)
Internet des objets - réseaux permettant de relier les objets connectés. Il
IoT
s’agit parfois de connexions via Internet ou via des réseaux dédiés
IRCGN Institut de recherche criminelle de la Gendarmerie nationale
Network and Information Security - directive UE sur la sécurité des réseaux et des
NIS - directive
systèmes d’information
NTECH Enquêteurs en technologies numériques (Gendarmerie)
Office central de lutte contre la criminalité liée aux technologies de
OCLCTIC
l’information et de la communication (DCPJ/SDLC)
> 131 <
OCRTIS Office central pour la répression du trafic illicite des stupéfiants
OCRVP Office central pour la répression des violences aux personnes
ONDRP Observatoire national de la délinquance et des réponses pénales
Observatoire de la sécurité des moyens de paiement, de la Banque de
OSMP
France
PABX Autocommutateur téléphonique privé
Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des
PHAROS
signalements (OCLCTIC)
Un proxy est un programme servant d’intermédiaire pour accéder à un autre
Proxy réseau. Par extension, il s’agit d’un matériel comme un serveur mis en place pour
assurer le fonctionnement de tels services
PJGN Pôle judiciaire de la Gendarmerie nationale, localisé à Pontoise (95)
Rançongiciel Logiciel malveillant ou virus qui bloque l’accès au système ou aux données et
réclame le paiement d’une rançon en échange du retour à l’état initial. Existe
Ransomware des versions avec chiffrement
Remote administration trojan : logiciel malveillant permettant un contrôle complet de la
RAT machine infectée (ou remote administration tool lorsqu’il s’agit uniquement d’un outil
d’administration)
Nouveau règlement européen sur la protection des données. Entré en
RGPD - GDPR
application le 25/05/18
SCRC Service central de renseignement criminel (Gendarmerie nationale)
Sous-direction de lutte contre la cybercriminalité (direction centrale de la
SDLC
police judiciaire - DCPJ)
SISSE Service de l’information stratégique et de la sécurité économiques
SSMSI Service statistique ministériel de la sécurité intérieure
STAD Systèmes de traitement automatisé de données
The onion router - système d’anonymisation sur Internet reposant sur une succession
TOR de rebonds via des serveurs (appelés nœuds) librement accessibles, combiné à un
chiffrement de la communication
virtual private network : réseau privé virtuel. Une connexion inter-réseau
VPN permettant de relier deux réseaux locaux différents par un protocole de
tunnel
> 132 <
Annexe 2 : Synthèse du rapport « Internet Organised Crime Threat
Assessment » (IOCTA) 2018
Les rançongiciels demeurent un phénomène criminel préoccupant.
Les cyber-attaquants, motivés par l’appât d’un gain financier, privilégient encore les rançongiciels aux chevaux
de Troie bancaires. Cette tendance devrait se poursuivre au cours des prochaines années.
De nombreux rapports publics attribuent de plus en plus de cyberattaques mondiales aux
États. L’objectif poursuivi n’est alors plus exclusivement financier mais aussi de déstabilisation.
Quant aux malwares qui se propagent via les smartphones, s’ils n’ont pas été spécifiquement signalés
à l’agence européenne en 2017, ils sont résolument identifiés comme un risque numérique dont on doit se
prémunir.
La protection des données est un enjeu majeur.
Les criminels utilisent souvent les données piratées pour réaliser d’autres activités illicites. En 2017, le
détournement de données le plus important concernait Equifax, affectant plus de 100 millions d’utilisateurs
dans le monde.
Avec l’entrée en vigueur du règlement européen général sur la protection des données à caractère personnel
(RGPD) le 25 mai 2018, le signalement d’une intrusion dans les systèmes entrainant un détournement des
données personnelles est désormais une obligation légale dans l’ensemble de l’UE. Le non-respect de cette
obligation de communication est sanctionné par de lourdes amendes. Le RGPD est considéré par Europol
comme un nouveau challenge pour les entreprises.
Les attaques par déni de service distribué (DDoS) ont continué à proliférer, devenant l’une des
principales menaces pour presque tous les secteurs exposés à l’Internet.
65 % des forces de police européennes ont rapporté des cas de DDoS et un tiers d’entre elles ont souligné
un nombre croissant de cas tout au long de l’année 2017.
Le secteur financier considère aussi le DDoS comme l’une des principales menaces. L’ENISA rapporte que
plus d’un tiers des organisations ont subi une attaque DDoS en 2017, contre 17 % pour l’année 2016.
D’autres rapports du secteur privé suggèrent que les attaques en DDoS représentent environ 70 % de tous
les incidents compromettant l’intégrité du réseau.
Ces types d’attaque peuvent provenir de sources variées, notamment les « hacktivistes », les cybercriminels
qui cherchent à en tirer un profit financier ou encore les groupes de pirates informatiques travaillant pour le
compte d’un État. Les motivations peuvent ainsi être variées : idéologiques, politiques ou financières.
Les attaques DDoS sont désormais démocratisées : le processus pour lancer des attaques DDoS est
aujourd’hui très simple et ne nécessite aucune compétence technique particulière. Les logiciels permettant
de perpétrer ces attaques sont facilement accessibles et très abordables. D’où l’accroissement des attaques
DDoS, aussi bien en termes de fréquence que d’échelle (en seconde place après les malwares en 2017).
Une production de plus en plus importante du matériel pédopornographique.
La quantité de matériel pédophile en ligne issu de l’exploitation sexuelle d’enfants, y compris le « matériel
explicite auto-généré » (SGEM – c’est-à-dire du matériel fourni par l’enfant ou l’adolescent contraint
d’envoyer des photos de lui ou d’elle nu(e)), continue d’augmenter. 60 % des États membres constatent une
augmentation de la diffusion de matériel pédopornographique sur Internet.
Bien que la majorité du matériel pédopornographique reste partagée sur des plates-formes P2P, des contenus
plus extrêmes sont diffusés sur les darknets.
En outre, les investigations sur les abus sexuels des enfants à distance (LDCA – c’est-à-dire la diffusion d’un
abus sexuel en direct et en streaming), sont particulièrement difficiles à diligenter, notamment en raison de
l’aspect transfrontalier de ces enquêtes et des technologies d’anonymisation et de chiffrement utilisées par
les auteurs.
> 133 <
Alors que de plus en plus de jeunes enfants ont accès à Internet et à des plateformes de médias sociaux, le
risque de contrainte (en vue d’obtenir des photos ou vidéos sexuellement explicites) et d’extorsion en ligne
continue de croître.
La popularité des applications de médias sociaux offrant des possibilités de streaming intégré a entraîné
une augmentation significative de la quantité de matériel pédopornographique diffusé en direct sur ces
plateformes.
Les fraudes sans présence de la carte (card-not-present ou CNP) sont aujourd’hui les plus
courantes, mais l’usage de la technique du skimming perdure.
Désormais moins répandues que les fraudes CNP, les fraudes en présence de la carte restent tout de même
d’actualité dans la plupart des États membres de l’UE, à l’image du skimming. Cette fraude tend toutefois à
diminuer en raison de l’adoption d’un certain nombre de mesures efficaces visant à restreindre l’utilisation
de la carte à l’étranger (card control). Il s’agit notamment du géoblocage ou géocontrôle : la carte ne peut être
utilisée que dans certains pays.
Les données des cartes « skimmées » sont souvent vendues via les darknets et l’argent décaissé dans des
zones où la mise en œuvre du standard Europay MasterCard Visa (EMV) est lente ou inexistante.
La « fraude au péage » a fait l’objet d’une attention particulière cette année. Les groupes criminels utilisent
en effet des cartes de paiement contrefaites (y compris cartes d’essence) pour éviter de payer des frais de
péage.
De nombreux États membres ont également signalé une augmentation de la création de sociétés factices
pour accéder illégalement à des points de vente, et pour tirer parti des informations ainsi compromises.
La fraude sans présence de la carte reste une menace majeure pour les États membres de l’UE. Elle se
déroule sans utilisation concrète de la carte, mais les coordonnées bancaires de son propriétaire sont volées
et utilisées illégalement. Les secteurs du transport et de la vente au détail sont particulièrement ciblés.
Le développement des cryptomonnaies.
Les rapports iOCTA précédents indiquaient que les criminels utilisaient de plus en plus des cryptomonnaies
pour financer leurs activités criminelles.
Bien que le Bitcoin ait perdu des parts dans le marché global des cryptomonnaies, il reste la devise principale
rencontrée par les services de police dans leurs enquêtes.
Les marchands de devises, les services de création de crypto-devises et les détenteurs de portefeuilles sont
confrontés à des tentatives de piratage, d’extorsion de données à caractère personnel et de vol.
Les cryptomonnaies sont de plus en plus utilisées afin de blanchir des fonds provenant d’une activité illicite.
Le recours aux cryptomonnaies est de plus en plus facilité par des phénomènes émergents, tels que les
échanges décentralisés qui permettent des échanges sans aucune obligation de connaître son client (« Know
Your Customer »).
Le cryptojacking ou minage de cryptomonnaie malveillant : une nouvelle menace
Les logiciels malveillants de minage de cryptomonnaie ont été l’une des formes les plus prolifiques de logiciels
malveillants distribués par les cybercriminels en 2018. Ils détournent secrètement la puissance de traitement
des machines infectées pour générer de la cryptomonnaie pour le compte du cybercriminel. Le cryptojacking
peut ralentir l’ordinateur de la victime. Il peut aussi cacher ou préparer d’autres attaques.
L’ingénierie sociale reste l’une des techniques cybercriminelles les plus utilisées
Le phishing par courrier électronique reste la forme d’ingénierie sociale la plus fréquente, les vishing (par
téléphone) et les smishing (par SMS) étant moins courants.
L’objectif poursuivi est d’obtenir des données personnelles, pirater des comptes, voler des identités, initier
des paiements frauduleux ou convaincre la victime de poursuivre toute autre activité contraire à son intérêt
personnel, telle que le transfert d’argent ou le partage de données personnelles.
> 134 <
Les marchés cybercriminels prospèrent sur les darknets en dépit d’une certaine instabilité.
En 2017, les services de police ont fermé trois des plus grands marchés du Darknet : AlphaBay, Hansa et RAMP.
Ces opérations policières ont incité les utilisateurs à migrer vers d’autres marchés ou plateformes, telles que
les applications de communication cryptées.
La fermeture de ces grands marchés mondiaux du Darknet a entraîné une augmentation du nombre de
marchés secondaires (souvent plus petits) ouverts à des groupes linguistiques particuliers ou de nationalités
spécifiques.
La convergence du cyber et du terrorisme.
L’État islamique (EI) continue d’utiliser Internet pour diffuser de la propagande et pour inciter à la commission
d’actes de terrorisme.
Les actions menées par les services de police et par les entreprises du web ont conduit les sympathisants
de Daesh à s’adapter. Ils s’organisent via des services de messagerie cryptée (Telegram est cité) pour assurer
une présence sur les grands médias sociaux (Twitter, Gmail et Instagram).
Même si les sympathisants de Daesh ont exprimé leur volonté d’acheter des outils et des services aux fins
de lancer des cyberattaques, leurs propres capacités internes semblent limitées. Les sympathisants de l’EI ont
réussi un petit nombre de défacements et des piratages de faible niveau (tel que le piratage de la station de
radio suédoise en novembre 2017 durant lequel le pirate a joué un Nashid de recrutement pour l’EI). En mars
2018, l’EI a tenté de mettre à disposition de ses sympathisants un réseau social « Muslim’s Network », mais ce
fut un échec. Enfin, le recours aux monnaies virtuelles pour financer des attaques terroristes reste marginal.
> 135 <
Annexe 3 : Contacts utiles pour lutter contre les cybermenaces
Plateformes de signalement
> https://www.pre-plainte-en-ligne.gouv.fr/ : Ce service vous permet d’effectuer une
déclaration pour des faits dont vous êtes directement et personnellement victime et pour
lesquels vous ne connaissez pas l’auteur, concernant une atteinte aux biens (vols, dégradation,
escroqueries…) ou un fait discriminatoire (discrimination, diffamation, injure, provocation
individuelle à la haine). Cette démarche vise à vous faire gagner du temps lors de votre
présentation à l’unité ou service choisi.
> https://www.internet-signalement.gouv.fr : plateforme d’harmonisation, d’analyse, de
recoupement et d’orientation des signalements (PHAROS) du ministère de l’Intérieur, elle
traite notamment des contenus illicites du web et constitue un point d’entrée unique des
signalements liés à l’ensemble des infractions pénales.
> https://www.service-public.fr/cmi : cette plateforme permet de signaler en ligne les violences
sexuelles et sexistes, 24 heures sur 24 et 7 jours sur 7, ainsi qu’un échange individualisé
(« tchat »).
> https://www.service-public.fr/particuliers/vosdroits/R46526 : Signaler une fraude à la carte
bancaire sur PERCEVAL : plateforme électronique de recueil des coordonnées bancaires et de
leurs conditions d’emploi rapportées par les victimes d’achat frauduleux en ligne.
> https://www.signal-spam.fr/ : cette plateforme donne la possibilité aux internautes de
signaler tout ce qu’ils considèrent être un spam dans leur messagerie afin de l’assigner ensuite
à l’autorité publique ou au professionnel qui saura le mieux prendre l’action qui s’impose pour
lutter contre le spam signalé.
> https://phishing-initiative.fr/contrib/ : cette plateforme offre aux internautes la possibilité
de lutter contre les attaques d’hameçonnage en signalant de manière simple des liens suspects,
analysés par des experts : les liens effectivement frauduleux sont alors retranscrits sur les listes
noires des principaux navigateurs web.
> https://www.pointdecontact.net/ : Cette plateforme de l’association Point de Contact permet
le signalement anonyme de contenu choquant et la qualification juridique des contenus illicites.
> À venir, Thésée : dépôt de plainte en ligne pour certaines escroqueries sur Internet.
> 136 <
Sensibilisation et bonnes pratiques sur les réseaux sociaux
Twitter :
> @Place_Beauvau
> @Gendarmerie ; @PoliceNationale ; @prefpolice
Facebook :
> @ministère.intérieur
> @gendarmerienationale ; @PoliceNationale ; @prefecturedepolice
Instagram :
> @ministère.intérieur
> @gendarmerie_nationale_officiel ; @policenationale
> 137 <
ÉQUIPE ÉDITORIALE
Le présent rapport a été établi grâce aux contributions :
- de la Préfecture de Police de Paris ;
- des directions générales du ministère : police nationale, gendarmerie nationale, sécurité intérieure, sécurité
civile et gestion des crises ;
- du service statistique ministériel de la sécurité intérieure ;
- du secrétariat général du ministère : service du haut fonctionnaire de défense, direction des libertés
publiques et des affaires juridiques, délégation à l’information et à la communication, délégué ministériel à
la protection des données ;
- de la direction de programme « identité numérique » ;
- et du ministère de la Justice (pôle d’évaluation des politiques pénales de la direction des affaires criminelles
et des grâces et section F1 du parquet de Paris).
Sa rédaction a été réalisée par la délégation ministérielle aux industries de sécurité et à la lutte contre les
cybermenaces, sous la direction du colonel Philippe Baudoin : commissaire divisionnaire Adeline Champagnat,
madame Alexandra Ketcheyan, commissaire divisionnaire François Thierry et monsieur Thierry Vinçon.
CONCEPTION RÉALISATION
MI-SG/DICOM
> 138 <